El mes pasado, el Tránsito Rápido del Área de la Bahía de San Francisco, el sistema de tránsito más grande de California, sufrió un ataque de ransomware que expuso datos altamente confidenciales del propio departamento de policía de la agencia.
Vice Society, el prolífico grupo de ransomware que se atribuyó la responsabilidad del ataque, robó todo, desde listas maestras de empleados hasta informes de laboratorio criminalístico, y los hizo públicos, poniendo vidas en peligro. Este fue solo el último de una larga lista de ataques cibernéticos dirigidos a los sistemas de tránsito y la infraestructura nacional, y ciertamente no será el último.
Durante mis 12 años como fiscal de distrito de Manhattan, fui testigo de los efectos nocivos de las amenazas a la seguridad cibernética. El delito cibernético en la ciudad de Nueva York afecta a las instituciones financieras masivas, los minoristas y los proveedores de infraestructura todos los días. Estas entidades son objetivos atractivos para los ciberdelincuentes, ya sea por razones financieras o políticas.
Gama de actores
Cuando se ataca una organización, es difícil saber la fuente : ¿podría ser un estado nación, un grupo de ciberdelincuencia o alguien dentro de la organización? Los actores del estado-nación y sus representantes están cambiando constantemente de marca y reinventándose para evitar la detección.
Dicho esto, aunque los actores del estado-nación tienden a causar el mayor daño, más del 80 % de los ataques cibernéticos son llevados a cabo por actores privados.
Más allá del riesgo financiero para las empresas y las personas, el delito cibernético es una grave amenaza para nuestra seguridad nacional, y la infraestructura crítica es un objetivo cada vez mayor cada día.
Cada explotación de día cero, una vulnerabilidad en un sistema que no tiene solución conocida, representa una oportunidad para que un enemigo intercepte comunicaciones confidenciales, robe propiedad intelectual valiosa y paralice los sistemas que nos mantienen a salvo : energía, agua, energía nuclear, hospitales, y más.
Efectos de la ondulación
El delito cibernético no se trata solo de extraer dinero o datos. Estos ataques disminuyen la confianza en nuestras instituciones más importantes y siembran miedo e incertidumbre, que es uno de los principales objetivos de nuestros adversarios.
Una mirada a algunos de los eventos cibernéticos más grandes de 2022 lo lleva a casa. Ha habido una explosión de extorsión digital. El grupo de hackers ransomware Lapsus$ filtró datos confidenciales de las víctimas, incluidas las empresas de tecnología líderes en el mundo.
El gobierno de Costa Rica fue paralizado por el ransomware Conti, vinculado a Rusia. Los robos de negocios de blockchain crecieron exponencialmente en el último año, con pérdidas asombrosas. En marzo pasado, Lazarus, vinculado a Corea del Norte, robó USD 540 millones en criptomonedas de Ronin, una popular plataforma de cadena de bloques.
Las organizaciones y las industrias con poca tolerancia al tiempo de inactividad continúan siendo duramente golpeadas porque los malos actores apuntan a aquellos que tienen más probabilidades de pagar. En junio pasado, una empresa de atención médica con sede en Massachusetts anunció una brecha que afectó a los datos de salud de 2 millones de personas.
A raíz de la pandemia, la fabricación es ahora la industria más atacada : la demanda de la cadena de suministro significa que las empresas no pueden darse el lujo de estar fuera de línea, incluso si se hace una copia de seguridad de todos los datos.
Se necesita mejor preparación
Desafortunadamente, el pronóstico actual de seguridad cibernética favorece a los delincuentes y los actores patrocinados por el estado sobre la capacidad de las jurisdicciones y las empresas para combatirlos. No estamos preparados para los ataques o las secuelas que inevitablemente siguen.
Una encuesta reciente de Baker McKenzie encontró que las demandas por seguridad cibernética y violaciones de datos eran la principal preocupación de riesgo de litigio para los asesores legales senior dentro de las grandes corporaciones a nivel mundial.
Si bien las agencias federales se enfocan con precisión en la prevención de un ataque cibernético que resulte en un desastre nuclear o un corte de energía en todo el país, los gobiernos estatales y locales también deben analizar detenidamente su capacidad para responder a un evento cibernético grave.
Necesitamos pensamiento creativo y compromiso en todos los niveles para abordar el problema de las ciberamenazas como la crisis que es.
Cuando todavía era fiscal del distrito, pregunté a los expertos en inteligencia del Departamento de Policía de Nueva York qué sucedería si nos atacaran, por ejemplo, nuestras fuentes de agua. ¿Había un plan?
La respuesta dejó dolorosamente claro que teníamos trabajo por hacer : no había un plan A y ciertamente no había un plan B. En caso de un ataque grave a la infraestructura crítica, nadie vendría a salvarnos. Nueva York tendría que salvarse a sí misma.
El ejemplo de Nueva York
Así que nos pusimos a trabajar. Convocamos a un grupo de trabajo público/privado, incluidos proveedores de infraestructura, fuerzas del orden, inteligencia y organizaciones sin fines de lucro. Capacitamos a los primeros en responder para manejar un ataque cibernético, con el apoyo, entre otros, de IBM y su centro de capacitación en Massachusetts.
Cinco años después, el Proyecto de Infraestructura y Servicios Críticos Cibernéticos de la Ciudad de Nueva York tiene su propio centro de comando dedicado y una membresía diversa de casi 300 profesionales de atención médica, tecnología, gobierno y otros sectores.
Cuando ocurrió el ataque al Oleoducto Colonial, la Oficina de Inteligencia de la Policía de Nueva York aprovechó rápidamente el « equipo de equipos » de CCSI para correr la voz entre las organizaciones miembros y se aseguró de que los proveedores de infraestructura estuvieran rastreando sus redes en busca de ataques similares.
Todavía queda trabajo por hacer, pero Nueva York ha demostrado que este modelo funciona y se puede replicar en todo el país, a un costo relativamente bajo y rápidamente. Para los estados y ciudades que tienen menos recursos que la ciudad de Nueva York, eso es muy importante. No tienen el lujo del tiempo para lograr una mayor ciberseguridad y resiliencia para la infraestructura crítica. Lo necesitan ahora.
Los esfuerzos colectivos de seguridad son fundamentales para nuestra seguridad. Si vamos a tener alguna posibilidad de defendernos contra amenazas cibernéticas significativas, el tipo de ataques que pueden destruir una red eléctrica o un hospital, debemos trabajar juntos.
Estados Unidos abrió el camino en el desarrollo de Internet y hoy en día es el hogar de las mejores y más innovadoras empresas de tecnología del mundo. Ahora necesitamos mostrar el mismo liderazgo para asegurarlo.
Este artículo no refleja necesariamente la opinión de Bloomberg Industry Group, Inc. el editor de Bloomberg Law y Bloomberg Tax, ni de sus propietarios.
Escriba para nosotros: Directrices para autores
Información del autor
Cyrus Vance Jr. es socio y presidente global de la práctica de ciberseguridad de Baker McKenzie. Antes de unirse a Baker McKenzie, sirvió tres mandatos consecutivos de cuatro años como fiscal de distrito de Manhattan.