A medida que se acerca NIS2, ¿cómo pueden las organizaciones mitigar los ciberataques que ponen en peligro la vida?

Por Phil Muncaster • 18 July 2024

NIS2 se transpondrá a ley en todos los estados miembros de la UE en tres meses. Exige una mayor seguridad básica, respuesta a incidentes, seguridad de la cadena de suministro y mucho más para hacer que los operadores de servicios esenciales sean más ciberresilientes. Si las organizaciones tuvieran alguna duda sobre por qué tales regulaciones son necesarias, no busquen más que la última catástrofe del ransomware NHS.

Afortunadamente, las mejores prácticas de la industria pueden contribuir en gran medida a optimizar el cumplimiento de NIS 2 y reducir las posibilidades de que se produzca un incidente cibernético que ponga en peligro la vida.

Atención médica bajo fuego

Al final, el ataque de ransomware que tuvo un impacto tan catastrófico en los pacientes del NHS estaba dirigido a un proveedor de servicios sanitarios de patología poco conocido y, en el momento de escribir este artículo, había provocado la cancelación y la cancelación de más de 800 operaciones planificadas y 700 citas ambulatorias. reorganizados, incluidos algunos procedimientos que podrían salvar vidas. Esas cifras se relacionan con los dos NHS Trusts más afectados (King's College Hospital NHS Foundation Trust y Guy's and St Thomas' NHS Foundation Trust) y solo del 3 al 9 de junio, por lo que la interrupción real probablemente será aún mayor.

Además de las cancelaciones, el NHS fue obligado a apelar para donantes de sangre y voluntarios tras el incidente. Aunque el proveedor en cuestión, Synnovis, planea restaurar algunas funciones de TI "en las próximas semanas", advirtió que la "restauración técnica completa" llevaría más tiempo y es probable que la interrupción dure "meses".

Los actores del ransomware atacan la atención médica con una frecuencia cada vez mayor y cada vez que lo hacen, existe la posibilidad de que la interrupción del servicio tenga un impacto potencialmente mortal en los pacientes. En Alabama en 2021, la madre de una niña de nueve meses presentó una demanda contra el hospital donde nació su hija, alegando que no reveló que había sufrido un ataque de ransomware en ese momento. Debido a que el ciberataque interrumpió los dispositivos críticos de tecnología operativa (OT), los médicos no pudieron monitorear adecuadamente la condición del niño, según la madre. Lamentablemente, sufrió graves lesiones cerebrales y falleció nueve meses después.

Un 25% de probabilidad de muertes

Por supuesto, la atención médica es solo uno de los muchos sectores críticos de infraestructura nacional (CNI) donde los ciberataques podrían tener repercusiones fatales. El informe del Registro Nacional de Riesgos 2023 del gobierno estima que un ciberataque grave contra CNI tiene entre un 5% y un 25% de posibilidades de ocurrir en los dos años siguientes. Afirma que esto podría provocar la muerte de hasta 1000 personas y hasta 2000.

En muchas de estas organizaciones, es el uso de tecnología OT e IoT lo que podría exponerlas a ataques con efectos cinéticos peligrosos. Esto se puede ver en la industria del tratamiento de agua, donde una Resultó el ataque de 2016 en los actores de amenazas alteraron el nivel de sustancias químicas en el agua potable cuatro veces antes de que se señalara el ataque.

Según Anton Shipulin, evangelista de ciberseguridad del especialista en seguridad de OT Nozomi Networks, realizar ciberataques dirigidos que pongan en peligro la vida es un desafío pero factible.

"Requiere varias condiciones para el actor de la amenaza, incluido el conocimiento del proceso, tiempo, dinero, personal y un objetivo vulnerable", le dice a ISMS.online.

“Sin embargo, cuando los procesos críticos o peligrosos para la vida dependen en gran medida de las tecnologías digitales, incluso los ataques no dirigidos o el mal funcionamiento de la tecnología pueden poner en peligro estos sistemas, causando potencialmente muertes o lesiones. Esto es particularmente cierto en sectores como el de la salud, la robótica industrial y la química”.

Sean Tufts, socio gerente de infraestructura crítica de Optiv, está de acuerdo en que el ransomware sigue siendo la amenaza más potente para CNI, dada la gran cantidad de grupos en general y la facilidad con la que muchos pueden explotar las brechas en la protección.

“Que un hacker haga estallar una subestación o una refinería no es imposible, pero sí muy difícil. Se necesitaría una organización de piratería muy avanzada combinada con un equipo que sepa cómo funcionan las centrales eléctricas”, explica a ISMS.online.

“El escenario más probable es que un hacker de bajo nivel coloque un paquete de ransomware básico en un sistema y detenga un proceso físico. Si ese proceso es una cinta transportadora, una bomba de aceite, un disyuntor eléctrico o un sistema de control de montaña rusa, las cosas pueden literalmente salirse de control. El lema actual de nuestra industria es "la ciberseguridad es seguridad". La seguridad es cibersegura'. Queremos que el equipo que está cerca de los dedos de nuestro técnico esté bajo su control”.

Repeler amenazas y salvar vidas

Todos estos factores aumentan considerablemente los riesgos para los líderes en ciberseguridad que operan en dichas industrias. La pregunta entonces es: ¿cómo pueden mejorar la ciberresiliencia hasta el punto de gestionar adecuadamente el riesgo para la vida?

"Los CISO deberían pensar en cómo podrían continuar con la prestación del servicio de emergencia en caso de una interrupción prolongada de la red e incorporar esto en un plan de respuesta a incidentes", aconseja James Tytler, asociado de respuesta a incidentes de S-RM.

"También deberían realizar ejercicios teóricos periódicos para asegurarse de que todas las partes relevantes conozcan sus funciones y responsabilidades con antelación", afirma a ISMS.online.

Según Tufts de Optiv, NIS 2 proporcionará un conjunto útil de mejores prácticas de seguridad para trabajar.

"El enfoque de NIS2 en establecer una base de ciberseguridad que las empresas puedan alcanzar es de vital importancia para liberar presupuesto de negocios con márgenes históricamente bajos", argumenta.

Sin embargo, dada la salida del Reino Unido de la UE, el reglamento no se aplicará a todas las organizaciones. Sin embargo, NIS2 no es el único juego disponible, según Shipulin de Nozomi Networks.

"Casi todas las industrias de infraestructura crítica que utilizan sistemas ciberfísicos se rigen por regulaciones locales o estándares internacionales que abordan la seguridad de estos sistemas", explica. "Por lo tanto, el mejor enfoque es comenzar revisando las pautas de ciberseguridad proporcionadas por el regulador de la industria o las asociaciones internacionales del sector específico".

Estándares de mejores prácticas como ISO27001 y IEC 62443 también puede ayudar. El primero mitigará los problemas de seguridad en los sistemas de TI que podrían ser explotados por actores de ransomware, y el segundo es particularmente útil ya que está diseñado específicamente para entornos OT, como los sistemas de control industrial.

“Este estándar fue elaborado por profesionales, no por reguladores. Su aplicabilidad es muy alta y personalizada para las necesidades de nuestra industria”, dice Tufts de Optiv.

Con tanto en juego, los CISO de los sectores CNI deben volver a tomar la delantera.

Phil Muncaster

Phil Muncaster ha sido periodista de TI durante 20 años. Comenzó como reportero en el título de TI empresarial IT Week en 2005 y ascendió al puesto de editor de noticias antes de dejarlo para seguir una carrera independiente. Desde entonces, Phil ha escrito para títulos como The Register, donde trabajó como corresponsal en Asia mientras residía en Hong Kong durante más de dos años, MIT Technology Review, SC Magazine, Infosecurity Magazine y otros.

Lea más de Phil Muncaster

La seguridad cibernética 18 November 2025

En lo que respecta a la tecnología operativa, la visibilidad es la base de una seguridad eficaz.

En lo que respecta a la tecnología operativa (TO), la visibilidad es la base de una seguridad eficaz.

La tecnología de la información (TI) suele acaparar los titulares, sobre todo ahora que nos adentramos en una nueva era donde la IA lo impulsa todo. Pero es la tecnología operativa (TO) la que aún...

Phil Muncaster

La seguridad cibernética 11 November 2025

Lo que la saga de Deloitte Australia revela sobre los riesgos de gestionar la IA

La IA generativa (GenAI) ha alcanzado cotas altísimas de expectación en el sector desde su irrupción a finales de 2022. Ahora está entrando en lo que Gartner denomina...

Phil Muncaster

La seguridad cibernética 6 November 2025

El NCSC dice que “es hora de actuar”, pero ¿cómo?

El NCSC afirma: “Es hora de actuar”, pero ¿cómo?

Es inusual ver una carta abierta de un líder empresarial al comienzo de un informe gubernamental sobre ciberseguridad. Especialmente de alguien cuya empresa ha sido objeto de...

Phil Muncaster

A medida que se acerca NIS2, ¿cómo pueden las organizaciones mitigar los ciberataques que ponen en peligro la vida?

Atención médica bajo fuego

Un 25% de probabilidad de muertes

Repeler amenazas y salvar vidas

Phil Muncaster

Artículos relacionados

En lo que respecta a la tecnología operativa (TO), la visibilidad es la base de una seguridad eficaz.

Evaluación del cambio de política de ciberseguridad de Estados Unidos durante la administración Trump

Control continuo en acción: Nuevas actualizaciones de API e integración de IO

Lea más de Phil Muncaster

En lo que respecta a la tecnología operativa (TO), la visibilidad es la base de una seguridad eficaz.

Lo que la saga de Deloitte Australia revela sobre los riesgos de gestionar la IA

El NCSC afirma: “Es hora de actuar”, pero ¿cómo?