McAfee y el Centro de estudios estratégicos internacionales (CSIS) revelaron hoy los resultados de un informe que refleja el costo y el impacto de los ataques cibernéticos sobre infraestructuras críticas, como redes eléctricas, de petróleo, gas y agua. La encuesta a 200 ejecutivos de seguridad de TI de empresas de infraestructura de electricidad crítica en 14 países detectó que el 40% de los ejecutivos pensaba que la vulnerabilidad del sector había aumentado. Casi el 30% opinó que su empresa no estaba preparada para enfrentar un ataque cibernético y más del 40% tiene previsto que su empresa enfrente un ataque cibernético importante dentro del año próximo.
McAfee encargó el informe “En la oscuridad: las industrias importantes confrontan ataques cibernéticos ” y lo realizó CSIS. “Descubrimos que la adopción de las medidas de seguridad en industrias civiles importantes rastrearon de manera deficiente el aumento de las amenazas durante el último año”, indicó Stewart Baker, que dirigió el estudio para CSIS. Los ejecutivos de la industria realizaron un progreso muy pequeño durante el último año respecto de la protección de sus redes; por ejemplo, la adopción de tecnologías de seguridad en el sector energético aumentó solo en un punto porcentual (51%) y en las industrias del petróleo y el gas solo en tres puntos porcentuales (48%).
“Entre el 90% y el 95% de las personas que trabajan en la red eléctrica inteligente no se preocupa de la seguridad y solo la ve como la última casilla que deben marcar”, dijo Jim Woolsey, ex-Director de la CIA.
El informe es un seguimiento de otro publicado en 2010 llamado “En el fuego cruzado: la infraestructura crítica en la era de la guerra cibernética”, que detectó que muchas de las infraestructuras críticas de todo el mundo no contaban con protección para sus redes informáticas y reveló el sorprendente impacto de los ataques cibernéticos en estas redes. El estudio nuevo revela que mientras el nivel de las amenazas en dichas infraestructuras se ha acelerado, el nivel de respuesta no lo ha hecho, incluso después de que la mayoría de los encuestados ha descubierto con frecuencia malware diseñado para sabotear sus sistemas (aproximadamente el 75%) y casi la mitad de los encuestados del sector eléctrico informó haber encontrado Stuxnet en sus sistemas. Esta amenaza para las infraestructuras también incluye las redes eléctricas inteligentes, que ha visto aumentada su adopción y se espera que supere los US$45.000 millones de gastos globales para el año 2015.
“Estamos viendo que la red eléctrica inteligente no es tan inteligente”, señaló Phyllis Schneck, vicepresidente y director tecnológico para la inteligencia del sector público de McAfee. “Durante el año pasado, fuimos testigos de la que es probablemente una de las formas de malware más sofisticadas, Stuxnet, que fue diseñado específicamente para sabotear los sistemas de TI de infraestructuras críticas. La verdad es que la mayor parte de los sistemas de infraestructura crítica no se diseñan considerando la seguridad cibernética y las organizaciones necesitan implementar controles de red más seguros para evitar ser vulnerables frente a los ataques cibernéticos”.
Otros resultados clave del informe de este año incluyen los siguientes:
- Los ataques cibernéticos siguen siendo frecuentes: 80% de los encuestados han enfrentado un ataque por denegación de servicio (DDoS) a gran escala y un cuarto informó haber sufrido ataques por DDoS diarios o semanales y/o haber sido víctimas de extorsión a través de ataques de red.
- Los intentos de extorsión resultaron ser más frecuentes en los sectores de PIC: Uno de cada cuatro encuestados ha sido víctima de extorsión a través de ataques cibernéticos o amenazas de ataques cibernéticos. El número de empresas sujetas a extorsión aumentó en 25% durante el año pasado, y los casos de extorsión estuvieron distribuidos de manera uniforme entre los distintos sectores de la infraestructura crítica. India y México tienen una alta tasa de intentos de extorsión; entre el 60% y el 80% de los ejecutivos encuestados en estos países informaron haber sido víctimas de intentos de extorsión.
- Las organizaciones no adoptan medidas de seguridad eficaces: Las medidas de seguridad sofisticadas aplicadas en usuarios fuera del sitio son la minoría, debido a que solo un cuarto de los encuestados implementan herramientas para supervisar la actividad de la red, y solo alrededor del 26% usa herramientas para detectar anomalías de función.
- Países conscientes respecto de la seguridad: Brasil, Francia y México se están quedando atrás en las medidas de seguridad y solo adoptan la mitad de las medidas de seguridad de países líderes como China, Italia y Japón. Simultáneamente, China y Japón también se encontraron dentro de los países con los más altos niveles de confianza en la capacidad de las legislación actual para prevenir o impedir los ataques en sus países.
- EE. UU. y Europa quedan detrás de Asia en lo que respecta a la participación gubernamental: las personas encuestadas en China y Japón informaron niveles altos de interacción formal e informal con sus gobiernos en materias de seguridad, mientras que EE. UU., España y el Reino Unido indicaron un contacto casi nulo.
- Las organizaciones sienten temor a ataques gubernamentales: más de la mitad de los encuestados señala haber sufrido ataques gubernamentales.
