Protégete con Microsoft de ciberataques en tu próximo evento
Los eventos de alto impacto, como los grandes acontecimientos deportivos, son objetivos atractivos para los piratas informáticos que quieren causar trastornos.
Los dispositivos y sistemas interconectados que se encuentran en estadios y recintos ofrecen a los ciberdelincuentes una amplia gama de formas de interrumpir las operaciones y robar datos.
Las ciberamenazas se ceban cada vez más con los mayores eventos a nivel mundial
Los responsables de las amenazas van allí donde están los objetivos, aprovechando las oportunidades para lanzar ataques selectivos o generalizados y oportunistas. Esto se extiende a los eventos deportivos de alto nivel, especialmente los que se celebran en entornos cada vez más conectados, lo que introduce riesgos cibernéticos para los organizadores, las instalaciones anfitrionas regionales y los asistentes. El Centro Nacional de Ciberseguridad del Reino Unido (NCSC) descubrió que los ciberataques contra organizaciones deportivas son cada vez más comunes, y que el 70% de los encuestados sufre al menos un ataque al año, una cifra significativamente superior a la media de las empresas del Reino Unido.
La presión por ofrecer una experiencia segura y sin contratiempos en el escenario mundial introduce nuevos retos para los anfitriones y las instalaciones locales. Un solo dispositivo mal configurado, una contraseña expuesta o una conexión de terceros pasada por alto pueden dar lugar a una violación de datos o a una intrusión con éxito.
Microsoft proporcionó soporte de ciberseguridad a las instalaciones de infraestructuras críticas durante la celebración de la Copa Mundial de la FIFA 2022™ en Qatar. Hoy os ofrecemos información de primera mano sobre cómo los actores de amenazas evalúan y se infiltran en estos entornos a través de sedes, equipos e infraestructuras críticas en torno al propio evento.
En DQS/ somos defensores de la ciberseguridad.
Microsoft realizó más de 634,6 millones de autenticaciones mientras proporcionaba defensas de ciberseguridad a instalaciones y organizaciones qataríes entre el 10 de noviembre y el 20 de diciembre de 2022.
Información sobre amenazas
Las amenazas a la ciberseguridad de los acontecimientos y recintos deportivos son diversas y complejas. Requieren una vigilancia constante y la colaboración entre las partes interesadas para prevenir y mitigar su escalada. El mercado mundial del deporte está valorado en más de 600.000 millones de dólares, por lo que el objetivo es muy amplio. Los equipos deportivos, las grandes ligas y las asociaciones deportivas mundiales, así como los lugares de ocio, albergan un tesoro de valiosa información deseable para los ciberdelincuentes.
La información sobre rendimiento deportivo, ventajas competitivas e información personal es un objetivo lucrativo. Por desgracia, esta información puede ser vulnerable a escala, debido al número de dispositivos conectados y redes interconectadas en estos entornos. A menudo, esta vulnerabilidad se extiende a múltiples propietarios, incluidos equipos, patrocinadores corporativos, autoridades municipales y contratistas externos. Los entrenadores, atletas y aficionados también pueden ser vulnerables a la pérdida de datos y la extorsión.
Además, los recintos y estadios contienen muchas vulnerabilidades conocidas y desconocidas que permiten a las amenazas atacar servicios empresariales críticos, como los dispositivos de los puntos de venta, las infraestructuras informáticas y los dispositivos de los visitantes. No hay dos eventos deportivos de alto nivel que tengan el mismo perfil de riesgo cibernético, que varía en función de factores como la ubicación, los participantes, el tamaño y la composición.
Para centrar los esfuerzos de Microsoft durante la celebración de la Copa del Mundo en Qatar, se llevó a cabo una búsqueda proactiva de amenazas mediante la cual se evaluó el riesgo utilizando Defender Experts for Hunting, un servicio gestionado de búsqueda de amenazas que busca proactivamente amenazas en puntos finales, sistemas de correo electrónico, identidades digitales y aplicaciones en la nube. En este caso, los factores incluían la motivación del actor de la amenaza, el desarrollo del perfil y una estrategia de respuesta. También tuvimos en cuenta la información sobre amenazas globales en relación con los ciberdelincuentes y los actores de amenazas con motivaciones geopolíticas.
Entre las principales preocupaciones figuraba el riesgo de interrupción cibernética de los servicios de eventos o de las instalaciones locales. Perturbaciones como los ataques de ransomware y los intentos de robar datos podrían afectar negativamente a la experiencia del evento y a las operaciones rutinarias.
El equipo de caza de amenazas operaba bajo una filosofía de defensa en profundidad para inspeccionar y proteger los dispositivos y redes de los clientes. Otro objetivo era vigilar el comportamiento de las identidades, los inicios de sesión y el acceso a archivos. La cobertura abarcaba diversos sectores, incluidos los clientes relacionados con el transporte, las telecomunicaciones, la sanidad y otras funciones esenciales.
En conjunto, el número total de entidades y sistemas vigilados veinticuatro con apoyo humano de caza de amenazas y respuesta abarcaba más de 100.000 puntos finales, 144.000 identidades, 14,6 millones más de flujos de correo electrónico, más de 634,6 millones de autenticaciones y miles de millones de conexiones de red.
A modo de ejemplo, algunos centros sanitarios fueron designados como unidades de atención urgente para el evento, incluidos hospitales que prestaban servicios críticos de apoyo y salud a aficionados y jugadores. Al ser instalaciones sanitarias propietarias de datos médicos, eran objetivos de gran valor. La actividad de caza de amenazas de Microsoft, impulsada por máquinas y personas, aprovechó la inteligencia sobre amenazas para escanear las señales, aislar los activos infectados e interrumpir los ataques a estas redes. Con una combinación de tecnología de Microsoft Security, el equipo detectó y puso en cuarentena la actividad previa al rescate dirigida a la red sanitaria. Se registraron varios intentos fallidos de inicio de sesión y se bloqueó la actividad posterior.
La naturaleza urgente de los servicios sanitarios exige que los dispositivos y sistemas mantengan un nivel máximo de rendimiento. Los hospitales y las instalaciones sanitarias tienen la difícil tarea de equilibrar la disponibilidad de los servicios y mantener al mismo tiempo una postura de ciberseguridad saludable. Un ataque con éxito, a corto plazo, podría haber inmovilizado las instalaciones médicas desde una perspectiva de datos a TI, dejando a los proveedores médicos relegados a lápiz y papel a la hora de actualizar los datos de los pacientes y debilitando su capacidad para llevar a cabo la atención médica que salva vidas en una situación de emergencia o triaje masivo. A largo plazo, el código malicioso plantado para proporcionar visibilidad a través de una red podría haber sido aprovechado para un evento de ransomware más amplio dirigido a una mayor interrupción. Un caso así podría haber abierto la puerta al robo de datos y la extorsión.
Dado que los grandes eventos mundiales siguen siendo objetivos apetecibles para los actores de amenazas, hay una variedad de motivaciones de los estados nacionales que parecen estar dispuestos a absorber los daños colaterales de los ataques si apoyan intereses geopolíticos más amplios. Además, los grupos de ciberdelincuentes que buscan aprovechar las enormes oportunidades financieras que existen en los entornos informáticos relacionados con los deportes y los recintos deportivos seguirán considerándolos objetivos apetecibles.
Recomendaciones
- Aumentar el equipo del centro de operaciones de seguridad (security operations center – SOC): Disponer ojos adicionales que supervisen el evento las 24 horas del día para detectar amenazas de forma proactiva y enviar notificaciones. Esto ayuda a correlacionar más datos de caza y descubrir signos tempranos de intrusión. Debe incluir amenazas más allá del endpoint, como el compromiso de la identidad o el pivote del dispositivo a la nube.
- Realizar una evaluación centrada en los riesgos cibernéticos: Identificar las amenazas potenciales específicas del evento, el lugar o el país donde se celebra. Esta evaluación debe incluir a proveedores, profesionales de TI del equipo y del lugar del evento, patrocinadores y partes interesadas clave del evento.
- Considerar el acceso menos privilegiado como una práctica recomendada: Conceder acceso a los sistemas y servicios sólo a quienes lo necesiten, y formar al personal para que comprenda los niveles de acceso.
Defensa contra los ataques
Con eventos como la World Cup™, los Juegos Olímpicos y los eventos deportivos en general, los riesgos cibernéticos conocidos salen a la superficie de maneras únicas, a menudo menos perceptibles que en otros entornos empresariales. Estos eventos muchas veces requieren que nuevos socios y proveedores adquieren acceso a las redes empresariales y compartidas durante un período de tiempo específico. La naturaleza emergente de la conectividad con algunos eventos puede dificultar el desarrollo de la visibilidad y el control de los dispositivos y los flujos de datos. También fomenta la falsa sensación de seguridad de que las conexiones «temporales» son de menor riesgo.
Los sistemas de eventos pueden incluir la presencia en la web y en las redes sociales del equipo o de la sede, plataformas de registro o venta de entradas, sistemas de cronometraje y puntuación de partidos, logística, gestión médica y seguimiento de pacientes, seguimiento de incidentes, sistemas de notificación masiva y señalización electrónica.
Las organizaciones deportivas, los patrocinadores, los anfitriones y las sedes deben colaborar en estos sistemas y desarrollar experiencias ciberinteligentes para los aficionados. Además, el gran número de asistentes y personal que llevan consigo datos e información a través de sus propios dispositivos aumenta la superficie de ataque.
Proporcionar a los equipos de seguridad la información que necesitan por adelantado -incluidos los servicios críticos que deben permanecer operativos durante el evento- servirá para elaborar mejor los planes de respuesta. Esto es esencial en los entornos de TI y OT que dan soporte a la infraestructura del recinto, y para mantener la seguridad física de los asistentes. Lo ideal sería que las organizaciones y los equipos de seguridad configurasen sus sistemas antes del evento para completar las pruebas, hacer instantáneas del sistema y los dispositivos, y ponerlos a disposición de los equipos de TI para que los desplieguen rápidamente cuando sea necesario. Estos esfuerzos contribuirán en gran medida a disuadir a los adversarios de aprovecharse de redes ad hoc mal configuradas en los entornos altamente deseables y ricos en objetivos de los grandes acontecimientos deportivos.
Además, alguien en la sala debe considerar el riesgo para la privacidad y si las configuraciones añaden nuevos riesgos o vulnerabilidades para la información personal de los asistentes o los datos de propiedad de los equipos. Esta persona puede poner en práctica sencillas prácticas ciberinteligentes para los aficionados, indicándoles, por ejemplo, que escaneen únicamente códigos QR con un logotipo oficial, que sean críticos con los SMS o mensajes de texto que no hayan suscrito y que eviten utilizar la Wi-Fi pública gratuita.
Estas y otras políticas pueden ayudar al público a entender mejor el riesgo cibernético en los grandes eventos, en concreto, y su exposición a la recolección y robo de datos. Conocer las prácticas seguras puede ayudar a los aficionados y a los asistentes a evitar convertirse en víctimas de ataques de ingeniería social, que los ciberdelincuentes pueden llevar a cabo después de hacerse un hueco en las redes explotadas de lugares y eventos.
Recomendaciones
- Dar prioridad a la implantación de un marco de seguridad integral y multicapa: Esto incluye el despliegue de cortafuegos, sistemas de detección y prevención de intrusiones y protocolos de encriptación sólidos para fortificar la red contra accesos no autorizados y violaciones de datos.
- Programas de formación y concienciación de los usuarios: Eduque a los empleados y partes interesadas sobre las mejores prácticas de ciberseguridad, como reconocer los correos electrónicos de phishing, utilizar la autenticación multifactor o la protección sin contraseña, y evitar enlaces o descargas sospechosas.
