AAPA Seaports
Hoy día, casi todos vivimos atados a nuestros teléfonos móviles, pero esa no fue una opción para Tracey Sandberg un jueves cualquiera en septiembre de 2018 cuando el Puerto de San Diego fue impactado por un ataque de ransomware.
Sandberg, quien se había unido al puerto como directora de tecnologías de la información a inicios de ese año, estaba aislada del mundo externo, retenida en una sala de jurado en un tribunal de condado, cuando unos hackers iraníes utilizaron malware para congelar los sistemas de cómputo del puerto. Después del ataque, el puerto tuvo acceso limitado a permisos y documentos públicos durante varios días y las funciones administrativas de la Policía Portuaria se vieron impactadas.
Cuando Sandberg llegó a trabajar ese día, sabía que estaría con las manos repletas.
“El Día 2, caminé de regreso al edificio y el equipo dijo ‘Gracias a Dios estás aquí’,” dijo Sandberg, ahora jefe de tecnología del puerto. “Imagina que cada computadora portátil, cada computadora de escritorio y cada servidor de tu organización deje de funcionar. ¿Qué haces? ¿Cómo comienzas siquiera a organizar esa recuperación?”
En esa época, el puerto trabajaba para mejorar su infraestructura de TI y, aunque el proceso no estaba completo, la atención que prestó el puerto a la ciberseguridad valió la pena. El puerto había implantado un plan de recuperación de desastres y logró recuperar sus datos gracias a varios respaldos. Por ello decidió no pagar el rescate a los dos hackers, quienes eventualmente fueron acusados pero nunca arrestados.
Sandberg dijo que la alta gerencia del puerto colocó notitas autoadhesivas, codificadas por color, en un largo pasillo de Kanban para mapear el proceso de recuperación. El primer paso fue despejar casi una docena de computadoras portátiles y algunos servidores para que el departamento de TI pudiera establecer un laboratorio de cómputo en una sala de conferencias. Con unas pocas estaciones de trabajo confiables, los altos ejecutivos del puerto hicieron fila con sus empleados de línea para turnarse en una computadora y el equipo de TI trabajó febrilmente para limpiar y reconectar los componentes más críticos.
“El personal técnico tomaba una notita autoadhesiva del pasillo y trabajaba en su contenido y así fue como sobrevivimos a esas primeras semanas de trabajo”, dijo Sandberg. “Fue un tiempo de unión para la compañía mientras atravesamos esa experiencia”.
Por cada ciberataque que aparece en titulares – tales como el Puerto de San Diego, el Oleoducto Colonial y la compañía procesadora de carnes JBS – hay un sinnúmero de ataques similares que sólo son notados por las empresas impactadas y sus clientes. Tan solo el año anterior, el Centro de Quejas de Delitos Informáticos del FBI recibió 2.474 denuncias identificadas como ransomware, con pérdidas ajustadas que superaron los $29,1 millones, un incremento del 225% sobre el año anterior, según la agencia.
Los ataques de ransomware a empresas ocurren cada 11 segundos en promedio, y se proyecta que los daños mundiales alcanzarán $20 mil millones este año, según la empresa de ciberseguridad basada en Boston, Cybereason.
La mayor frecuencia y sofisticación de los ataques de ransomware son de gran preocupación para los administradores portuarios, así como amenazas físicas tales como el terrorismo y los desastres naturales. En respuesta, muchos puertos han venido actualizando su software y hardware informático en años recientes, a menudo con ayuda del Programa de Subvenciones para Seguridad Portuaria del Departamento de Seguridad Nacional, que brinda hasta $100 millones en financiamiento anual para proteger la infraestructura portuaria crítica del país.
Sandberg dijo que el ataque de ransomware aceleró las mejoras de ciberseguridad ya planeadas para el Puerto de San Diego, que incluían inversiones en hardware, software y personal especializado en informática. También resaltó la importancia de observar las mejores prácticas, tales como descargar parches para servidores y computadoras portátiles cada mes, utilizar autenticación de doble factor para acceder a computadoras y contar con un proceso estandarizado para hacer cambios a la infraestructura de TI.
El personal del puerto también recibe capacitación para reconocer intentos de spear-phishing (ataques dirigidos) donde los hackers envían correos electrónicos a los trabajadores, instándoles a ingresar a un enlace o a digitar información sensible. A los empleados se les enseña a marcar esos intentos de spear-phishing en el sistema de correo electrónico del puerto para ayudar a impedir que se esparzan y, cuando se les detecta, el equipo de TI envía un boletín informativo a todos los trabajadores mostrándoles cómo se ven esos intentos.
Este próximo otoño, el Puerto de San Diego tiene planificado un ejercicio de mesa simulando otro ataque de ransomware que frena sus operaciones. Al personal de TI se pedirá que simule que sus computadoras portátiles o de escritorio y otros dispositivos no funcionan y deberán iniciar el proceso de recuperación de nuevo. Con la constante evolución de los ciberataques, la preparación defensiva nunca acaba.
“Estamos poniéndonos a prueba y midiendo nuestra propia preparación”, dijo Sandberg.
Aquí mostramos un vistazo a las iniciativas de ciberseguridad de otros puertos:
Puerto de Los Ángeles
El puerto más atareado de los Estados Unidos sobresalió en las noticias en diciembre al anunciar una alianza con IBM para crear un Centro de Ciber Resiliencia Portuaria (Port Cyber Resilience Center).
Enfocado en detectar y proteger contra ciberataques que pudieran alterar la cadena de suministro, se espera que este sistema, el primero en su tipo, mejore mucho la calidad, cantidad y velocidad de la información sobre ciberamenazas que se comparte dentro de la comunidad portuaria, según Thomas E. Gazsi, jefe de seguridad pública y manejo de emergencias del puerto.
El acuerdo de tres años, por $6,8 millones, indica que IBM dará al puerto hardware, software y servicios para diseñar, instalar, operar y mantener el Centro de Ciber Resiliencia.
Puerto de Beaumont
Se fue lo viejo y entró lo nuevo a este puerto en el sureste de Texas, que contrató a una empresa para efectuar una auditoría de ciberseguridad de su red de TI en 2019. La meta era alinear al puerto en el cumplimiento con el Marco de Ciberseguridad para Mejorar la Infraestructura Crítica, establecida por el National Institute of Standards and Technology (https://www.nist.gov/cyberframework).
El puerto contrató a un integrador externo para que instalara nuevo equipo y software para ayudar con las prioridades señaladas en la auditoría de ciberseguridad, indicó Randal Ogrydziak, director de seguridad, instalaciones, cumplimiento normativo, vigilancia y manejo de emergencias.
“Nuestra red administrativa fue actualizada por última vez hace muchos años y en aquel entonces la gente ni siquiera sabía cómo deletrear ciberseguridad”, dijo Ogrydziak. “Esto ayudará a reducir nuestro riesgo de delitos informáticos, pero no lo eliminará. No sabes lo que no sabes a menos que tengas a un tercero confiable que venga a evaluar tu red. Eso tiene su costo, pero recibes por lo que pagas”.
Ogrydziak dijo que el puerto se centra en la capacitación sobre ciberseguridad ya que siempre está presente la “amenaza interna” de empleados. Un trabajador descontento podría hacer clic intencionalmente sobre el enlace equivocado, pero casi siempre el perpetrador comete un error inocente y olvida lo que se le ha enseñado sobre los sistemas de spear-phishing, dijo.
Ogrydziak resaltó una presentación sobre ciberseguridad ofrecida por un funcionario del DHS a la cual él asistió hace varios años. El funcionario narró cómo al día siguiente de la capacitación dada a los funcionarios del DHS sobre cómo manejar correos electrónicos sospechosos, él mismo envío un correo falso ofreciendo boletos gratuitos a un partido de fútbol a quienes hicieran clic sobre un enlace y brindaran un poco de información personal.
“Tuvieron que dar la capacitación de nuevo a todos”, señaló.
Un buen programa de capacitación sobre ciberseguridad no solo cubre las amenazas básicas sino las formas tan creativas en que los hackers pueden lograr acceso a una red de computadoras. Algo tan simple como conectar un teléfono inteligente a una computadora para cargarlo puede servir de puerta a los cibercriminales. O también podrían rotular una unidad flash como “Salarios Empleados Portuarios para 2021” y dejarla caer en el estacionamiento, esperando que algún empleado la inserte en su computadora.
“Puedes tener el más reciente hardware, software, cortafuegos (firewalls) y todo lo demás pero todo se resume a esta amenaza de alguien adentro, que generalmente es alguien que realmente no está pensando en lo que está haciendo”, dijo Ogrydziak.
Puerto de Redwood City
Este puerto en el norte de California ha utilizado subvenciones federales para financiar una serie de mejoras de seguridad, incluyendo la construcción de un Centro de Operaciones Inter-agencial; equipos tales como cámaras, iluminación y mallas; un nuevo atracadero para embarcaciones pequeñas (jet dock); y equipo de detección CBRNE (química, biológica, radiológica, nuclear, explosiva) para los departamentos de bomberos y de policía de Redwood City.
El Centro de Operaciones Inter-agencial (IOC) será un sitio donde el personal de primera respuesta local, estatal y federal puede colaborar con el puerto y sus grupos de interés para gestionar emergencias. El Puerto de Redwood City ha sido designado por FEMA como un Área Federal de Preparación en caso de un sismo u otro desastre.
Kristine A. Zortman, directora ejecutiva del puerto, dijo que la construcción del IOC implica sustituir los sistemas actuales de hardware y software del puerto por versiones más recientes, ayudando al puerto a mantenerse un paso adelante de los hackers. Dijo que la infraestructura de TI es similar a los dispositivos electrónicos de las personas, tales como televisores y teléfonos móviles, en el sentido de que los productos más nuevos ya parecen anticuados en tan sólo unos pocos años.
“Se trata de asegurar que tengas la tecnología más actualizada, evaluar si esa tecnología te está dando lo que necesitan e identificar cómo te podría dejar vulnerable a intromisiones”, dijo Zortman. “Nunca te quedes estático porque una vez que dejas de reevaluar y de buscar mejoras, ahí es cuando otra gente encuentra cómo irrumpir en tus sistemas”
En 2014, estableció su Centro de Operaciones de Ciber Resiliencia para monitorear amenazas a los sistemas internos del puerto, y Los Ángeles continúa siendo el único puerto en poseer la prestigiosa certificación de ciberseguridad ISO 27001 otorgada por la Organización Internacional de la Normalización (ISO). El nuevo Centro de Ciber Resiliencia incorporará a todos los otros interesados del puerto, creando un “sistema de sistemas” accesible a las navieras, compañías ferroviarias, empresas de transportes, grupos laborales y otros que operan en la terminal, dijo Gazsi.
“Tomamos muy en serio el hecho de que somos el puerto de contenedores más atareado de los Estados Unidos, y eso conlleva la responsabilidad de fortificar y asegurar la cadena de suministro de manera responsable y digitalizada”, dijo Gazsi. “Continuamente debes estar preparado para un ciberataque y para responder de manera efectiva, no sólo por ti sino por todos tus interlocutores”.
El Centro de Ciber Resiliencia automatizará el proceso de compartir información sobre ciberamenazas con toda la comunidad portuaria, dando a aquellos interesados que escojan participar información más detallada, precisa y oportuna, según indicó Lance Kaneshiro, el director de información del puerto.
“El Centro de Ciber Resiliencia reducirá el riesgo de una interrupción en el flujo de carga permitiéndonos trabajar con todos nuestros interesados para compartir información de ciberamenazas y ponernos a disposición para ayudar a restablecer operaciones individuales si fuera apropiado”, dijo Kaneshiro. “Debemos mirar la ciberseguridad más allá de nuestros sistemas individuales y mirarla más desde la perspectiva del ecosistema y la cadena de suministro, colaborando con nuestros interesados”.
