Director del FBI ve "paralelismos" entre el desafío de los ataques de ransomware y el ataque del 11 de septiembre

Washington (CNN) -- El director del FBI, Christopher Wray, alertó sobre el ransomware en términos muy duros, comparando el desafío que supone la reciente oleada de ataques cibernéticos contra Estados Unidos con los atentados terroristas del 11 de septiembre, y pidiendo una respuesta similar.

Sus declaraciones se producen en un momento en el que funcionarios de todo el gobierno han tratado de enfatizar la urgencia de la respuesta al problema después de que incidentes consecutivos de ransomware pusieran de manifiesto la vulnerabilidad de las industrias críticas en Estados Unidos.

"Hay muchos paralelismos, hay mucha importancia y mucho enfoque por nuestra parte en la interrupción y la prevención", dijo Wray en una entrevista con el diario The Wall Street Journal este jueves. "Hay una responsabilidad compartida, no solo entre las agencias del gobierno, sino en el sector privado e incluso el estadounidense promedio".

"La magnitud de este problema es algo que creo que el país tiene que asumir", añadió.

Las declaraciones de Wray reflejan un consenso creciente dentro de la administración de Biden de que el ransomware se encuentra entre las amenazas más graves para la seguridad nacional a las que se ha enfrentado Estados Unidos. Y es parte de un esfuerzo más amplio de la Casa Blanca para convencer al público de que tiene el control de la situación, incluso cuando algunos expertos en ciberseguridad dicen que el poder ejecutivo está limitado en lo que puede hacer unilateralmente para detener los ataques.

Los comentarios también subrayan la creciente alarma en los niveles más altos del gobierno de EE.UU. después de los ataques consecutivos a JBS Foods y Colonial Pipeline, que no solo demostraron el impacto que tales ataques pueden tener en la vida cotidiana de los estadounidenses, sino la incapacidad de la nación para protegerse contra ellos. El Departamento de Justicia señaló esta semana que planea coordinar sus esfuerzos contra el ransomware con los mismos protocolos que utiliza para el terrorismo y la Casa Blanca publicó una inusual carta abierta a las empresas pidiéndoles que traten la amenaza de los ataques de ransomware con mayor urgencia.

• Están secuestrando a las empresas. ¿Deberían pagar el rescate?

La vicefiscal general Lisa Monaco también subrayó la gravedad del problema en una entrevista el viernes.

"Estoy absolutamente de acuerdo en que tenemos que tratar el ransomware y los ciberataques como la amenaza a la seguridad nacional que son", dijo a la CNBC. "Por eso necesitamos tener un panorama nacional, y tenemos que usar todas nuestras herramientas".

"Sabemos que, efectivamente, los ataques más recientes contra JBS Foods y Colonial Pipeline están vinculados a actores criminales, grupos criminales conocidos por las fuerzas de seguridad que tienen vínculos con Rusia", dijo Monaco, y añadió: "No podemos ceder en nada y ningún país debería dar cobijo a actores criminales de ningún tipo".

15.000 incidentes de ransomware en el último año

Estados Unidos sufrió más de 15.000 incidentes de ransomware contra organizaciones tan solo el año pasado, según Brett Callow, analista de amenazas de la empresa de ciberseguridad Emsisoft. Los ataques costaron a Estados Unidos entre US$ 596 millones y US$ 2.300 millones en 2020 en concepto de pago de rescates y pérdida de productividad, dijo Callow. Las cifras reales pueden ser incluso mayores, añadió, porque las estimaciones de Emsisoft solo tienen en cuenta los casos confirmados de incidentes de ransomware.

En los últimos años, los actores maliciosos han tenido cada vez más éxito a la hora de atacar a las grandes empresas en ataques de interés periodístico, según Callow.

El memorando del jueves del Departamento de Justicia ordena a los fiscales estadounidenses que informen internamente de todas las investigaciones sobre ransomware en las que estén trabajando, en una medida diseñada para coordinar mejor el seguimiento de los delincuentes en línea por parte del gobierno de EE.UU.

El memorando señala al ransomware, programa informático malicioso que toma el control de una computadora hasta que la víctima paga un rescate, como una amenaza urgente para los intereses de la nación.

• Los hackers paralizaron un oleoducto. Los bancos y las bolsas de valores son objetivos aún más grandes

"Debemos mejorar y centralizar nuestro seguimiento interno de las investigaciones y persecuciones de los grupos de ransomware y de las infraestructuras y redes que permiten que estas amenazas persistan", escribió Monaco.

Y en una carta enviada desde la Casa Blanca, la máxima responsable de ciberseguridad del Consejo de Seguridad Nacional, Anne Neuberger, escribió a los ejecutivos de las empresas y a los líderes empresariales que el sector privado necesita comprender mejor su papel clave.

"Todas las organizaciones deben reconocer que ninguna empresa está a salvo de ser víctima del ransomware, independientemente de su tamaño o ubicación", escribió Neuberger. "Les instamos a que se tomen en serio el delito de ransomware y se aseguren de que su ciberseguridad corporativa esté a la altura de la amenaza".

Las empresas estadounidenses de todos los tamaños deberían aplicar inmediatamente medidas como la creación de copias de seguridad fuera de línea de los datos importantes, la implementación de la autenticación multifactorial y del cifrado para codificar la información confidencial, dijo Neuberger.

En la entrevista del diario The Wall Street Journal, Wray señaló al gobierno de Rusia por permitir que los responsables de los ciberataques que Estados Unidos y otros creen que están detrás de los recientes atentados contra Colonial y JBS sigan operando en Rusia.

"Una y otra vez, una gran parte de ellos se han rastreado hasta actores en Rusia. Por lo tanto, si el gobierno de Rusia quiere demostrar que se toma en serio este asunto, tiene mucho margen para demostrar algún progreso real que no estamos viendo ahora", dijo Wray.

Los ataques en la agenda durante el encuentro de Biden con Putin

El presidente Joe Biden abordará el ataque de JBS, así como el aumento de la amenaza de ciberataques, durante su reunión con el presidente de Rusia, Vladimir Putin, a finales de este mes en Ginebra, según ha informado la Casa Blanca. Mientras se reúne con otros líderes mundiales, Biden también tratará de crear una coalición internacional contra el ransomware, ha dicho la Casa Blanca.

La administración no está "quitando ninguna opción de la mesa" en respuesta al incidente de JBS, dijo la secretaria de prensa Jen Psaki en una rueda de prensa esta semana.

Estos anuncios se producen después de varias semanas en las que la administración ha mostrado su agresividad a la hora de enfrentarse a la amenaza de la ciberdelincuencia y la intrusión informática desde el extranjero.

En abril, el Departamento de Justicia puso en marcha un grupo de trabajo interno dedicado a perseguir a los delincuentes del ransomware y a desbaratar sus redes financieras. La Casa Blanca anunció un esfuerzo de 100 días para evaluar la ciberseguridad de la red eléctrica del país, trabajando con las empresas de servicios públicos para instalar tecnología de supervisión que pueda escanear en busca de indicios de intrusiones.

Biden también firmó un decreto para reforzar la seguridad digital en las agencias de Estados Unidos, para ascender a los contratistas federales que dan prioridad a la ciberseguridad y para sancionar a Rusia por su papel en los ciberataques patrocinados por el Estado.

También inició una revisión del enfoque del gobierno de EE.UU. sobre el ransomware específicamente, centrándose, entre otras cosas, en las transacciones de criptomonedas de los ciberdelincuentes.

Tras el bloqueo de Colonial Pipeline, el Departamento de Seguridad Nacional adoptó medidas de emergencia para obligar al sector de los oleoductos y gasoductos críticos a informar de los incidentes de ciberseguridad al gobierno federal en un plazo de 12 horas y a designar un coordinador de ciberseguridad "siempre disponible". Además, las empresas deberán evaluar en un plazo de 30 días la adecuación de sus prácticas a las directrices de seguridad de la Administración de Seguridad en el Transporte (TSA, por sus siglas en inglés) para oleoductos y gasoductos.

• Rusia es el «rey de la desinformación» en Facebook, según la compañía

Las autoridades reconocieron que se trata solo de un primer paso tras el ataque que provocó la interrupción de las operaciones de uno de los oleoductos más importantes de Estados Unidos.

Mientras tanto, el gobierno de Estados Unidos ha tomado algunas medidas ofensivas en los últimos meses en respuesta al ransomware, según dos fuentes familiarizadas con la situación. Las medidas incluyen interceptar y vigilar las redes de los ciberdelincuentes y, en algunos casos, identificar a los actores individuales implicados en ataques específicos en cuestión de horas.

Las capacidades del gobierno de EE.UU. son limitadas

Pero incluso a medida que el gobierno de Biden adopta una postura más severa contra el ransomware, está luchando con los límites de sus capacidades. El poder del gobierno para infiltrarse en las bandas de ransomware es "situacionalmente dependiente" de la sofisticación de los propios criminales y de sus medidas defensivas, dijeron las fuentes a CNN.

Cuando se le preguntó el miércoles si planeaba tomar represalias contra Rusia por el ataque de ransomware de JBS que la administración vinculó a Rusia, Biden dijo a los periodistas del grupo: "Estamos estudiando detenidamente esa cuestión".

Los funcionarios de Estados Unidos llevan años estableciendo comparaciones entre la amenaza del hacking y el terrorismo.

En 2018, el Director de Inteligencia Nacional del presidente Donald Trump, Dan Coats, advirtió que el sistema estaba de nuevo "parpadeando en rojo" dado que actores extranjeros llevaban a cabo una serie de intrusiones y ataques cibernéticos contra objetivos en Estados Unidos, una referencia a la alarmante actividad registrada antes del 11-S.

"Y aquí estamos, casi dos décadas después, y estoy aquí para decir que las luces de advertencia están parpadeando en rojo de nuevo. Hoy, la infraestructura digital que sirve a este país está literalmente bajo ataque", dijo entonces.

A nivel estratégico, las medidas de la administración para nombrar a altos funcionarios de ciberseguridad o imponer sanciones a los gobiernos que albergan a los ciberdelincuentes pueden tener importantes efectos a largo plazo, como la creación de normas internacionales más sólidas que desalienten la ciberdelincuencia, pero es poco probable que los incentivos financieros a corto plazo de los autores de ransomware cambien, dijo Alexis Serfaty, analista principal de Eurasia Group, una empresa de consultoría de riesgo político.

• El ransomware causó el cierre del Oleoducto Colonial. Tú también podrías estar en riesgo

La administración también debe lidiar con los límites de su autoridad impuestos por la ley, así como con las lagunas en la ley que el Congreso ha omitido subsanar durante años.

Según los expertos jurídicos e industriales, no es posible que el gobierno de Biden imponga un conjunto único de normas de ciberseguridad para todos los sectores de infraestructuras críticas, como oleoductos, aerolíneas y redes de telecomunicaciones, entre otros. La complejidad de cada sector, y su relación con la economía de EE.UU. en general, habla de lo difícil que es diseñar normas de ciberseguridad, y no digamos hacerlas cumplir.

"Hay un mosaico de requisitos normativos y obligaciones contractuales. Y no es fácil llegar a una especie de conjunto estándar de requisitos mínimos de ciberseguridad que se aplique a los 16 [sectores de infraestructuras críticas]", dijo Chris Cummiskey, ex subsecretario en funciones del Departamento de Seguridad Nacional.

El poder ejecutivo goza de mayor influencia con el sector privado en su inmenso poder de contratación. Al establecer normas de ciberseguridad para las agencias federales, Biden puede influir indirectamente en la ciberseguridad comercial al descartar a los contratistas que no cumplan la norma, añadió Cummiskey.

La administración podría hacer más para ampliar los incentivos comerciales, dijo Ed Amoroso, CEO de la empresa de ciberseguridad TAG Cyber. Por ejemplo, dijo Amoroso, el gobierno de Estados Unidos podría subvencionar la formación de nuevos profesionales de la ciberseguridad con el fin de ayudar a las organizaciones a aplicar las mejores prácticas más recientes.

• Se busca: millones de expertos en ciberseguridad. Salario: lo que pidas

"En todos los sectores, no hay suficiente gente que sepa hacer esto", dijo Amoroso. "He estado rogando a la administración que, por favor, establezca un programa de ciberseguridad del ejército".

Mientras tanto, las agencias federales encargadas de regular sectores específicos de la economía tienen cada una su propia legislación del Congreso que establece lo que pueden hacer, y en algunos casos, la misma agencia puede estar obligada a regular una industria de manera diferente a otra. Todo ello dificulta la elaboración de normas obligatorias de ciberseguridad.

El resultado es una conversación difícil sobre quién debe asumir la responsabilidad de proteger al público de los ciberataques: el gobierno o el sector privado, según los expertos en ciberseguridad.

"La lucha en este momento es entender quién va a gestionar ese riesgo", dijo Sergio Caltagirone, vicepresidente de inteligencia de amenazas en la empresa de ciberseguridad Dragos. "¿Va a entrar el gobierno de Estados Unidos a proteger las infraestructuras críticas, o debería el gobierno de Estados Unidos proporcionar más herramientas y capacidades y enfoques para que estas empresas lo hagan por sí mismas?"

-- Alex Marquardt y Jamie Crawford de CNN contribuyeron a este reportaje.