Cuando finalizó el primer día en Black Hat USA 2022 alguien me preguntó: "¿Cuáles son tus conclusiones del primer día?" Hubo varias presentaciones interesantes y, como era de esperar, varias detallaron la guerra cibernética en Ucrania, incluida la presentación de Robert Lipovsky y Anton Cherepanov de ESET: Industroyer2: la guerra de Sandworm apunta nuevamente a la red eléctrica de Ucrania.
Pero hubo un momento destacado del día para mí, un momento en el que todas las menciones vinculadas al conflicto en Ucrania y todos los análisis detallados de los incidentes cibernéticos que ha sufrido el país se pusieron en perspectiva. Juan Andres Guerrero y Thomas Hegel de SentinelOne presentaron la 'Guerra cibernética' real: espionaje, ataques de DDoS, filtraciones y wipers en la invasión de Rusia a Ucrania, una cronología detallada de los ataques cibernéticos relacionados con el conflicto. Al igual que en todas las presentaciones relacionadas con la guerra, se dio ante una sala repleta con más de mil asistentes. Juan hizo clic en la primera diapositiva y le recordó a la audiencia que, si bien estamos aquí para hablar sobre los ataques cibernéticos relacionados con la guerra, debemos recordar que hay una guerra, una guerra real, que está ocurriendo en las calles y que afecta la vida de las personas.
El momento fue un claro recordatorio de que, si bien la industria de la seguridad cibernética está unida para intentar detener los ataques que ocurren en Ucrania, lo hacemos de forma remota mientras hay personas que viven en una zona de guerra real. El resto de la presentación de Juan y Thomas fue una cronología fascinante de los ataques y cómo numerosas empresas y organizaciones de la industria de la ciberseguridad se han unido para brindar una cooperación sin precedentes, incluido el intercambio de investigaciones e inteligencia. Una diapositiva que menciona a los principales contribuyentes los enumera como: CERT-UA, Comando Cibernético de los Estados Unidos, Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA), SentinelLabs, Microsoft Threat Intelligence Center, TALOS, Symantec, Mandiant, Inquest Labs, red canary y ESET . La lista demuestra cómo empresas que normalmente compiten en los negocios están unidas en esta misión, e incluso en condiciones normales -si es que existe tal cosa en la industria de la ciberseguridad- trabajan juntas para mantener seguro y accesible el entorno digital.
La presentación de ESET realizada por Robert y Anton detalló el reciente intento de los atacantes conocidos como Sandworm, un grupo al que las agencias de ciberseguridad de diferentes países (entre ellos CISA de Estados Unidos y NCSC de Reino Unido) atribuyen como parte del GRU de Rusia, de atacar a una infraestructura eléctrica. Los esfuerzos combinados y el conocimiento previo de ataques contra sistemas de control industrial (ICS) utilizados en las plantas de distribución eléctrica, proporcionaron a los responsables de la ciberseguridad dentro de la empresa de servicios de energía la capacidad de frustrar el ataque potencial. Este ataque, en el cual utilizaron un malware que fue denominado Industroyer2, fue uno de los muchos ataques destinados a causar interrupción y destrucción, y demuestra que los ciberataques ahora han madurado a un nivel en el que son un activo, un arma, disponible para quienes desean llevar adelante una guerra.
Para resumir, mi conclusión del día es el orgullo de ser miembro de la industria de la ciberseguridad y, lo que es más importante, debemos reconocer y agradecer a los equipos de ciberdefensa dedicados que se han esforzado para proteger los sistemas y la infraestructura de un agresor.