Por Ignacio Zugasti, Arquitecto de Ciberseguridad, de Logicalis Argentina
El 19 de marzo de 2019 la multinacional Norsk Hydro, productora de aluminio y energías renovables con presencia en 40 países –entre ellos la Argentina–, sufrió un ataque informático en el que se empleó el ransomware conocido como “LockerGoga”. Según confirmaron expertos del Centro de Inteligencia de Ciberseguridad de Cisco –TALOS– esta variante de dicho software malicioso no sólo cifró contenido en los equipos afectados, adicionalmente expulsó a los usuarios que contaban con acceso al sistema y, rompiendo con la operatoria clásica en estos ataques, no dio lugar a la lectura de la conocida nota con la que el atacante exige, generalmente, un rescate en criptomonedas.
Este evento parecía tener una única víctima, enfocándose en ocasionarle pérdidas económicas a la empresa afectando la operatoria de su negocio. Estos inconvenientes comenzaron a presentarse inmediatamente: se detuvo la producción en las plantas de extrusión de metal, los sistemas digitales de las plantas de fundición tuvieron que ser pasados a operación manual e incluso la disponibilidad de los sistemas de la red IT fue afectada, entre otros. Una semana después del incidente ya podían estimarse las pérdidas económicas; según informó la agencia Reuters las mismas se encontraban entre los US$ 35 y 41 millones. Por otro lado, la unidad de negocio de soluciones de extrusión aún permanecía afectada en un 20% a 30%. Tiempo después, en junio, al presentar a los inversores los resultados del primer cuarto del año 2019, Norsk confirmó la importancia del ataque, el impacto que el mismo tuvo sobre le EBIT de las soluciones extruidas y validó la estimación económica realizada por Reuters.
Como mencionamos inicialmente, las consecuencias parecían acotadas al entorno de la empresa atacada. Sin embargo, al observar la escena desde otro punto de vista vemos otra consecuencia: la agencia Bloomberg confirmó que el ataque impactó en el mercado de futuros de la Bolsa de Metales de Londres (London Metal Exchange). Claramente esto sorprendió a referentes de la industria al comprobar cómo un incidente de ciberseguridad aparentemente aislado puede reflejarse directamente en el valor de un commodity global como lo es el aluminio.
En los tiempos que corren la visión de ciberseguridad no sólo debe estar en la mesa directiva, sino también acompañar el plan de desarrollo del negocio, contar con presencia en todas las áreas de la empresa y proveer una estrategia para responder ante posibles ataques. En lo que a la industria refiere, una de las principales medidas adoptadas es la de crear equipos multidisciplinarios donde interactúan áreas de OT (Operational Technology, por sus siglas en inglés), IT, seguridad y, según el caso, los distintos referentes involucrados en el negocio.
Los eventos de seguridad se multiplican, sin importar la industria, cambian los vectores de ataque, objetivos y metodologías. Muchos son programados con el objeto de persistir en los diferentes entornos, evitar su pronta detección incrementando su efectividad y accionar en situaciones donde la operación del negocio es crítica. No existe la fórmula mágica para inmunizarnos, pero está claro el camino a seguir: enseñar a prevenir, ganar visibilidad en los entornos donde el negocio se desarrolla, reducir al máximo las potenciales superficies de ataque, capacitarse para controlar el impacto y estar listos para responder en el menor tiempo posible.