McAfee revela un dramático aumento de los ciberataques dirigidos a infraestructuras críticas de organizaciones

El 80% ha experimentado un ataque a gran escala y el 25% ha sido víctima de intentos de extorsión, mientras en lo que se refiere a España, el 45% de los encuestados reconoce haber detectado tasas de infiltración elevadas de Stuxnet.

McAfee y el Centro para Estudios Estratégicos e Internacionales (CSIS) han anunciado las conclusiones de un informe que refleja el coste y el impacto de los ciberataques a infraestructuras críticas de sectores como el de la energía, el petróleo, el gas y el agua. La encuesta, realizada a 200 directores de seguridad de TI de empresas de infraestructuras críticas en 14 países, desvela que el 40% de ellos cree que la vulnerabilidad de la industria ha aumentado. El 30% piensa que su empresa no está preparada para un ciberataque y más de un 40% espera un importante ciberataque el próximo año.

El informe ”Amenazas en la oscuridad. Las infraestructuras críticas se enfrentan a ciberataques”, fue encargado por McAfee y producido por el CSIS. “La adopción de medidas de seguridad en importantes industrias civiles no va en línea con el aumento de amenazas en el último año,” afirma Stewart Baker, que lideró el estudio para el CSIS. Los directores de TI han hecho modestos progresos respecto al año pasado en lo que se refiere a la seguridad de sus redes, puesto que el sector de la energía aumentó su adopción de las tecnologías de seguridad en solo un punto porcentual (51%), y en el caso de las industrias del petróleo y el gas, el aumento fue del 3% (48%).

“Entre el 90 y el 95% del personal que trabaja en el desarrollo de redes de distribución inteligentes afirma no estar preocupado por la seguridad, la cual consideran como uno de los últimos factores a tener en cuenta” afirma Jim Woolsey, ex director de la CIA.

Este informe es una continuación del lanzado el año pasado “En el punto de mira: las infraestructuras críticas en la era de la ciberguerra,” que afirmaba que muchas de las infraestructuras críticas de todo el mundo carecían de protección en sus redes de ordenadores y reveló el asombroso coste e impacto de los ciberataques en estas redes. El nuevo estudio destaca que, mientras que el nivel de amenazas destinadas a estas infraestructuras se ha acelerado, no lo ha hecho las respuestas a dichas amenazas, incluso después de que la mayoría de los encuestados encontrara malware diseñado para sabotear sus sistemas (aproximadamente el 75%) y cerca de la mitad de los encuestados pertenecientes al sector eléctrico afirmó haber encontrado Stuxnet en sus sistemas. Esta amenaza a infraestructuras incluye también redes eléctricas de distribución inteligente, cada vez más extendidas, y se espera que el gasto a nivel mundial sobrepase los 45.000 millones de dólares en 2015.

“Estamos viendo que las redes de distribución de energía eléctrica inteligente no lo son tanto,” afirma Phyllis Schneck, vicepresidente y CTO del área de inteligencia para el sector público de McAfee. “El año pasado, vimos una de las formas más sofisticadas de malware en Stuxnet, que estaba especialmente diseñado para sabotear los sistemas de TI de las infraestructuras críticas. El hecho es que los sistemas de este tipo de infraestructuras no fueron creados teniendo en cuenta la ciberseguridad y las organizaciones necesitan implementar mejores controles de red, para evitar ser vulnerables a los ataques.”

Otras conclusiones clave del informe:

•Los ciberataques todavía prevalecen: un 80% de los encuestados se ha enfrentado a un ataque de denegación de servicio (DDoS) y un cuarto de ellos informó diaria o semanalmente de ataques de este tipo y/o fueron víctimas de extorsión a través de ataques de red.
•Los intentos de extorsión fueron más frecuentes en los sectores de infraestructuras críticas: uno de cada cuatro encuestados ha sido víctima de extorsión a través de ciberataques o de amenazas de ciberataques. El número de compañías susceptibles de ser extorsionadas aumentó un 25% el año pasado, y los casos de extorsión estaban distribuidos por igual entre los diferentes sectores de infraestructuras críticas. México y la India tienen un elevado ratio de intentos de extorsión; entre el 60 y el 80% de los encuestados en dichos países ha reconocido haberlos sufrido.
•Las organizaciones fracasan en la adopción de seguridad eficaz: las medidas de seguridad sofisticadas impuestas a los usuarios fuera de las instalaciones son escasas, ya que solo un cuarto de los encuestados implementa herramientas para analizar la actividad de red, y el 36% utiliza herramientas para detectar comportamientos anómalos.
•Países conscientes de la seguridad: Brasil, Francia y México tienen los índices de adopción de medidas de seguridad más bajos, casi un 50% inferior al que mostraron los líderes que son China, Italia y Japón. Al mismo tiempo, China y Japón estaban también entre los países con los niveles de confianza más altos en la capacidad de las leyes actuales para prevenir o detener ataques en sus países.
•EE.UU y Europa se encuentran por detrás de Asia en cuanto a interacción con el gobierno: los encuestados en China y Japón declararon tener altos niveles de interacción formal e informal con sus gobiernos en lo que se refiere a seguridad, mientras que EE.UU, España y Reino Unido admiten intercambiar escasa o ninguna información con el gobierno en temas de seguridad.
•Las organizaciones temen ataques de gobiernos: más de la mitad de los encuestados afirma haber sufrido ataques procedentes de gobiernos.

Fuente