La escala de ciberataques que estamos sufriendo en los últimos meses y la digitalización acelerada de muchos sectores económicos, como el industrial, harán posible que para 2025 los delincuentes cibernéticos puedan poner en riesgo vidas humanas con sus agresiones, e incluso cometer asesinatos, según un informe de la consultora tecnológica Gartner.
El citado texto señala que los ciberataques a la tecnología operacional, es decir, hardware y software que monitorea o controla equipos, activos o procesos, se han vuelto cada vez más comunes, y la escalada y mayor efectividad de estos en entornos industriales podría conducir a fallos críticos en el funcionamiento de la maquinaria y los sistemas de seguridad, comprometiendo la integridad física de las personas que trabajan en ellos.
Gartner señala que el mejor ejemplo de las implicaciones que puede tener un ciberataque a la tecnología operacional de una compañía lo hemos tenido recientemente en la agresión a la petrolera estadounidense Colonial Pipeline, una de las principales redes de oleoductos de Estados Unidos, que obligó a la compañía a detener temporalmente sus operaciones como medida de precaución para evitar males mayores.
En el caso de Colonial Pipeline, los ciberdelincuentes informaron a la empresa porque su fin era económico: que la petrolera pagase para rescatar sus sistemas. Sin embargo, si los atacantes no hubiesen advertido a los responsables de la compañía, los fallos derivados de la vulneración de su tecnología operacional podrían haber provocado graves daños, tal vez fatales para las vidas de los trabajadores.
Además del riesgo para la integridad de los empleados, la agresión a Colonial Pipeline también puso de manifiesto el destrozo que un solo ciberataque puede ocasionar en el día a día de toda una superpotencia mundial: Estados Unidos tuvo que declarar el estado de emergencia, ya que la petrolera provee el 45% de los combustibles a todo el territorio este de la nación. De hecho, tamaña fue la gravedad del asunto que el Departamento de Justicia de Estados Unidos decidió, a raíz de este incidente, equiparar los ataques de ransomware con el terrorismo.
Impacto económico de los ataques ciberfísicos
Los ciberataques que tienen implicaciones en maquinaria y sistemas físicos se conocen como ciberfísicos. Y según Gartner, las agresiones de este tipo que deriven en víctimas fatales tendrán un impacto financiero de más de 50 mil millones de dólares para 2023.
“Incluso sin tener en cuenta el valor de la vida humana, los costes para las organizaciones en términos de compensación, litigios, seguros, multas regulatorias y pérdida de reputación serán significativos”, explican. Asimismo, apuntan que es probable que los sistemas judiciales de los países occidentales resuelvan que el responsable de los daños sufridos en estos ataques es el CEO de la compañía, por no haber tomado las medidas necesarias para prevenirlos.
Para evitar la pérdida de vidas humanas y gastos millonarios, la consultora tecnológica recomienda a las empresas desarrollar un marco de diez controles de seguridad para sus instalaciones: definir un gerente de ciberseguridad de tecnología operacional para cada instalación, formar y concienciar al personal, implementar y probar respuestas a incidentes, crear constantemente copias de seguridad y de recuperación ante desastres, escanear contantemente los dispositivos portátiles -tanto propios como de externos-, inventario de hardware y software actualizado, establecer una segregación de red adecuada, implementar un sistema de detección de amenazas en tiempo real, desarrollar un proceso de configuración seguro y un proceso formal de parcheo.
Ver 4 comentarios