Desde los artefactos incendiarios disfrazados de paquetes que causaron daños en varias instalaciones de DHL en el verano del año pasado, es evidente que la logística en los estados que apoyan a Ucrania también es un objetivo de campañas de amenazas híbridas que acompañan los esfuerzos de guerra de Rusia. En una declaración conjunta de agencias de seguridad internacionales, la Oficina Federal para la Seguridad en Tecnología de la Información (BSI) y la Oficina Federal para la Protección de la Constitución (BfV) advierten especialmente a la industria logística sobre los ciberataques. El objetivo de los ataques es interrumpir o incluso detener las entregas en la zona de conflicto. Los medios utilizados no se limitan solo a las empresas involucradas, sino que también afectan a la infraestructura. Esto incluye, entre otros aspectos, el espionaje de puntos logísticos, como el acceso no autorizado a cámaras de vigilancia conectadas en red. Las autoridades identifican explícitamente a los servicios de inteligencia rusos como los autores de estos ataques. Para los ciberataques, esto significa una calidad diferente a los temas conocidos de los medios como el ransomware (software de extorsión).
Calidad particular de los ataques
Los actores cibernéticos estatales, como los servicios de inteligencia y los militares, generalmente no están bajo presión de tiempo y pueden acceder a recursos casi ilimitados. Su proceder se caracteriza por permanecer desapercibidos en un sistema el mayor tiempo posible, donde generalmente roban datos con fines de espionaje. Sin embargo, la advertencia actual señala que, en el caso concreto, la prioridad está más en la sabotaje. Especialmente en la logística, la caída de una sola empresa es solo un éxito parcial para los atacantes. Puede ser compensado mediante la reubicación temporal a otros operadores logísticos.
Por lo tanto, se espera un proceder diferente: permanecer en el sistema sin ser detectado el mayor tiempo posible y provocar caos mediante intervenciones manipulativas. Por ejemplo, en el caso de almacenamiento totalmente automatizado o transporte de mercancías sensibles, factores como la temperatura, el almacenamiento y el tiempo juegan un papel importante. También, la elaboración de documentos de carga está a veces tan automatizada que pequeños errores en la fecha o direcciones no se detectan o se atribuyen a un error humano. La mercancía (por ejemplo, alimentos o medicinas) llega entonces tarde o incluso en mal estado.
Pero también los patrones de ataque ya conocidos en
el crimen pueden ser interesantes para los actores estatales: si se puede seguir en tiempo real la ubicación de una carga interesante mediante el acceso a los sistemas, es fácil interceptarla de manera específica. Además, se conocen casos en los que, mediante la manipulación de los sistemas informáticos, se ha enmascarado el origen y tipo de las mercancías y envíos completos con mercancías de contrabando han "desaparecido". Un procedimiento así también es concebible para los servicios secretos. El objetivo de la seguridad informática es, por lo tanto, conocer lo antes posible las actividades inusuales en el sistema mediante medidas como la detección de anomalías. Veamos primero cómo proceden los atacantes:
El punto de entrada: El atacante ya está dentro
La mayoría de los ciberataques comienzan con un correo electrónico que contiene un enlace o archivo adjunto malicioso. Por ello, las medidas de defensa incluyen regularmente la formación de los empleados para reducir la probabilidad de que caigan en uno de estos ataques. Pero hay un problema: cuanto más elaborados sean los ataques, más difícil será para los empleados. La palabra mágica es "confianza": estos correos electrónicos maliciosos no vienen de la nada, sino de un contacto de confianza. Un cliente o socio comercial, en algunos casos incluso cuentas privadas de familiares cercanos que ya han sido tomadas por los atacantes. En el correo electrónico en sí, se refiere a la comunicación anterior o se enlaza directamente con esta.
Los ataques a menudo tienen como objetivo robar credenciales de inicio de sesión como nombres de usuario y contraseñas, mediante las cuales los atacantes acceden a los sistemas. Para mitigar el riesgo, se debe implementar la autenticación multifactor para todas las cuentas de usuario. Sin embargo, lamentablemente se debe asumir que los atacantes estatales encontrarán formas de eludirlas. Por lo tanto, el enfoque de la seguridad de TI debería estar en reconocer y reaccionar ante comportamientos inusuales en la red (Detección y Respuesta).
La cadena de suministro digital
Otro punto de entrada son las interfaces digitales: la captura de órdenes moderna puede llevarse a cabo de manera completamente automática. El cliente, a menudo incluso la fábrica automatizada, crea requisitos de mercancías o entregas, que se envían directamente al operador logístico. Este puente de software es una posible fuente de peligro para ambas empresas. No solo la introducción de software malicioso es un desafío.
Se hace mucho más difícil cuando el software proporciona resultados incorrectos debido a una manipulación externa. Si además existen posibilidades de acceso informático a los respectivos sistemas de la otra empresa, depende del software utilizado. Sin embargo, la experiencia muestra que es mejor asumir la existencia de agujeros de seguridad y tomar las precauciones de seguridad adecuadas, como la segmentación de la red.
Peligros por parte de proveedores y empleados
También las conexiones inmediatas suponen un posible peligro: el personal de limpieza externo a menudo está en los locales fuera del horario de oficina, los técnicos de servicio a menudo trabajan sin ser observados en máquinas e instalaciones. En estos casos, rápidamente se puede conectar un nuevo dispositivo, por ejemplo, un USB con contenido malicioso. Pero también los empleados a menudo introducen sus propios dispositivos, como puntos de acceso y enrutadores en la red. Esto no suele hacerse con mala intención, sino para facilitar su vida. Sin embargo, representan posibles puntos de entrada desde los que se puede infiltrar el sistema subyacente. La mayoría de soluciones de seguridad ofrecen la posibilidad de evitarlo o solo permitir medios de almacenamiento certificados. Las empresas deberían usar estas medidas.
Administradores y permisos de acceso
Los administradores de TI tienen el desafío de adaptar constantemente sus conocimientos a los rápidos desarrollos de TI, mientras manejan todas las tareas en la empresa. Esto se vuelve más complejo cuanto más se utiliza la TI. De esta manera, se alcanza rápidamente el límite de la capacidad humana. Se intenta facilitar la vida, por ejemplo, mediante contraseñas fáciles de recordar o accesos rápidos, aunque se sepa que son potencialmente arriesgados.
Los atacantes buscan deliberadamente estos "atajos". Si existen, se utilizan para acceder a los permisos de acceso de los administradores. Luego, los atacantes pueden crear sus propias cuentas con los mismos derechos o simplemente hacerse cargo de las existentes. Por eso es importante segmentar las áreas de la red y restringir los permisos de los empleados, incluidos los administradores. Pero también se deberían abrir conversaciones honestas sobre los límites de la propia capacidad. Los empleados sobrecargados en TI y seguridad informática son uno de los desafíos más frecuentes en la lucha contra los ciberataques.
Logística e infraestructura crítica
Debido a su importancia real para el funcionamiento de la economía y la sociedad, puede parecer sorprendente que en el ámbito
del transporte y el tráfico, principalmente los operadores de nudos e infraestructuras caigan bajo la nueva Directiva NIS2 de la UE, pero muchas empresas logísticas no lo hacen. Esta directiva describe las medidas de seguridad informática que son obligatorias para las empresas de ciertos sectores con más de 50 empleados (y 10 millones de euros de facturación anual).
Además, estas empresas están instadas a incluir toda su cadena de suministro en la consideración de las medidas de seguridad de la información. En este punto, la nueva directiva afecta particularmente a la industria logística, cuyo fallo tiene consecuencias para prácticamente todas las demás industrias. Aunque la implementación nacional de NIS2 en Alemania se ha demorado debido al cambio de gobierno, las empresas ya están comenzando a discutir cuestiones de seguridad informática con sus socios logísticos. Donde las empresas dependen de Just in Time/Just in Sequence o trabajan con materiales peligrosos, esto ya debería ser el estándar.
Conclusión
Estar en el objetivo de actores estatales puede parecer amenazante al principio y, de hecho, no se debe subestimar. Sin embargo, con una estrategia de ciberseguridad razonablemente establecida y operativa, se tienen buenas posibilidades de detectar y repeler también esos ataques cibernéticos. Es importante entender que el primer punto de entrada en un sistema de los atacantes está acompañado de enormes esfuerzos. Por eso, con actores estatales, se debe asumir que eventualmente lograrán pasar incluso las mejores herramientas de defensa.
Los operadores logísticos no solo sirven a los ciberatacantes como objetivo de sabotaje, al restringir sus capacidades de transporte, sino también como punto de entrada a sus clientes debido a su posición de confianza e interfaces digitales. Por lo tanto, una estrategia propia de ciberseguridad con un enfoque en la detección y respuesta a ataques, así como la colaboración activa con los clientes en asuntos de ciberseguridad, no solo mejora el nivel de protección propio, sino que también fomenta la confianza. Como mínimo, deberían existir estrategias para informar y gestionar de manera mutua los ciberataques exitosos.
El autor
Como Asesor de Seguridad, Richard Werner acerca la estrategia de Trend Micro a los responsables de seguridad informática de grandes clientes empresariales, especialmente en lo que respecta a las amenazas cibernéticas actuales. Antes de su tiempo en Trend Micro, Richard Werner obtuvo experiencia profesional en la industria de alimentos y logística y está formado como comerciante de
