Stuxnet ha evidenciado la urgencia de un nuevo enfoque de la ciberseguridad
La aparición el pasado junio del gusano Stuxnet ha servido de llamada de alerta a gobiernos y empresas, especialmente en el caso de aquellas con sistemas de control industrial basados en Internet, según ha defendido un grupo de expertos de seguridad ante los legisladores estadounidenses.
El sofisticado Stuxnet “ha cambiado las reglas del juego” para compañías y gobiernos, que ahora son más conscientes de la necesidad de tomarse muy en serio la protección de sus redes, en opinión de Sean McGurk, director del organismo estadounidense National Cybersecurity and Communications Integration Center, que está asociado al Departamento de Seguridad Interior del país.
Este malware, probablemente desarrollado por un equipo bien financiado, funciona alterando los archivos del software que corre en los sistemas de control industrial y puede robar los datos contenidos en ellos sin que la entidad afectada se dé cuenta de ello, ha explicado McFurk ante el comité del senado para asuntos de seguridad interior y gubernamentales de Estados Unidos.
Con su aparición ha quedado demostrada la necesidad de que gobiernos y organizaciones del sector privado adopten un nuevo enfoque de las ciberamenazas, coincide Michael Assante, presidente y CEO de National Board of Information Security Examiners. “Stuxnet es, en el mejor de los casos, una importante llamada de atención para países y empresas, y, en el peor, un precedente para futuros ataques”.
Desde su aparición hasta la semana pasada, Stuxnet había infectado nada menos que 44.000 ordenadores en todo el mundo. Alrededor de la mitad de ellos, en Irán, el país más afectado por la plaga, según Dean Turner, director de la red Global Intelligence Network de Symantec, lo que ha generado especulaciones sobre la probabilidad de que el gusano hubiera asumido el objetivo de atentar contra la estrategia nuclear iraní.
Assante ha criticado el enfoque que ha guiado los esfuerzos en ciberseguridad hasta el momento, principalmente centrado en cumplir una lista de requerimientos estándar emitidos por North American Electric Reliability Corporation (NERC). En su opinión, tales estándares han estado basados en la protección perimetral, sin tener en cuenta la naturaleza de los nuevos tipos de amenazas. Además, según Assante, tales requerimientos dejan varios huecos sin cubrir e imponen exigencias rígidas en un entorno de rápido cambio.
Herramientas forenses, formación y simulaciones
Por ello, Assante mantiene que gobiernos y organizaciones que operen sistemas de control industrial deberían centrarse en la integración de herramientas forenses y de protección en sus sistemas, invirtiendo más dinero en investigación sobre seguridad y dedicando más tiempo a formar a sus trabajadores en las ciberamenazas con iniciativas como simulaciones de ataque, entre otras.
Además, deberían imponer con mayor fuerza sus políticas de TI y autenticación de usuarios, según Turner, así como dedicar más esfuerzos a la educación en ciberseguridad, desde la escuela hasta las salas de reuniones ejecutivas.
“Stuxnet ha demostrado que los sistemas de control industrial son más vulnerables a los ciberataques ahora que en el pasado por múltiples razones, como el aumento de la conectividad con otros sistemas e Internet”, explica Turner. “También ha demostrado que el impacto de estos ataques sobre las infraestructuras críticas de los países puede resultar sustancial”.
