El objetivo de Killnet es la atención sanitaria: qué debe saber, qué debe hacer
La guerra en Ucrania se está intensificando de nuevo estos días con múltiples ataques con misiles y drones. La acción responde a las promesas de los aliados occidentales de suministrar tanques para hacer retroceder a las fuerzas rusas. Sin embargo, la batalla contra los ciberdelincuentes está cada vez más cerca de nosotros, especialmente de las organizaciones sanitarias y los hospitales de EE. UU.
El grupo prorruso Killnet lanzó una serie de ataques distribuidos de denegación de servicio (DDoS) en los últimos días contra algunas de las principales clínicas y centros médicos de Estados Unidos, y muchos expertos advierten que ataques similares podrían extenderse a otros países que apoyan a Ucrania.
Por qué es probable que haya oído hablar de Killnet
Killnet no es nuevo, pero la naturaleza de sus ataques contra las instituciones gubernamentales, las empresas privadas y, ahora, contra las organizaciones sanitarias está evolucionando. Killnet es el mismo grupo de hackers prorrusos que recientemente inhabilitó el sitio web del Parlamento Europeo (PE) con un ataque DDoS después de que los líderes del PE “proclamaran a Rusia como un estado patrocinador del terrorismo”, señaló la presidenta del Parlamento, Roberta Metsola. Los sitios web del gobierno de Lituania, la República Checa y Rumanía también han sido atacados.
En los Estados Unidos, la incidencia ha sido mayor. Los objetivos de Killnet incluyeron los sitios web gubernamentales de al menos tres estados el año pasado. Los sitios web de los aeropuertos de EE. UU. también fueron víctimas de Killnet en octubre de 2022, y el grupo se atribuyó el robo de datos de empleados del contratista de defensa Lockheed Martin en un ciberataque en agosto de 2022.
Todas estas organizaciones se pueden considerar infraestructuras esenciales, pero el ataque a los sistemas sanitarios supone un paso más allá porque podría afectar a millones de pacientes de una sola vez.
Técnicas comunes, un único objetivo
Killnet emplea ataques en dos fases, primero dirigiéndose a sitios web con una inundación HTTP y, a continuación, atacando los sitios con amplificación de DNS. Estas técnicas no son exclusivas, pero el enfoque reciente de Killnet en el sector sanitario sí lo es.
Dado que desde finales del año pasado la administración Biden se ha centrado prioritariamente en la atención sanitaria como un área clave en la que mejorar las directrices y los requisitos de ciberseguridad,no es ninguna sorpresa que una organización prorrusa intente sacar partido de las vulnerabilidades. La cuestión es si estas debilidades son una hipótesis o son ciertas.
Qué sabemos y cómo podemos ayudar
Los atacantes de Killnet realizan una amplia investigación sobre sus objetivos y hechos recientes han demostrado que es probable que el sector sanitario continúe siendo un objetivo principal. A medida que el sector sanitario se digitaliza rápidamente, el debate sobre la estrategia, la infraestructura y la mitigación evoluciona.
Akamai no es ajeno a este debate, por lo que estamos impulsando un diálogo proactivo mediante el examen de los datos y la revisión de las técnicas de reconocimiento de los atacantes. En el sector sanitario, esto es especialmente importante, ya que es el sector que ha sufrido más ataques DDoS en la plataforma de Akamai en 2022 (excluyendo los principales mercados verticales, como el comercio digital, que tienen un mayor volumen debido a la propia naturaleza de sus sectores).
Hemos observado que grupos como Killnet parecen saber muy bien quién está protegido actualmente y quién no. Los ataques DDoS tienden a centrarse en las entidades menos protegidas. A través de un reconocimiento cuidadoso y preciso, los atacantes determinan quién recibirá el próximo ataque.
Sé que es difícil encontrar el tiempo y los recursos necesarios para evaluar qué supondrá abordar los riesgos asumidos, pero no hay nada peor que verse arrastrado a una guerra cibernética sin un plan de respuesta ideado en tiempos de paz”.
Roger Barranco, vicepresidente de Operaciones de Seguridad de Akamai
Una simple solicitud HTTP o búsqueda de interconexiones BGP puede validar la ruta de la solicitud desde el equipo atacante y retroceder hasta el servidor web de destino, o averiguar si la infraestructura de destino está protegida por defensas DDoS basadas en BGP/enrutamiento.
Qué podemos esperar
Nadie puede predecir el futuro. No obstante, como sector que se ha enfrentado recientemente a la COVID-19, con menores márgenes de beneficioy escasez de trabajadores (entre otras muchas dificultades), es probable que el debate sobre la preparación en el ámbito de la atención sanitaria se oriente más hacia derroteros clínicos o financieros.
Esto tiene que cambiar. Hoy en día, proteger a los pacientes es algo más que llevar una mascarilla o facilitar su vacunación. Se trata de proteger sus datos personales y garantizar la protección integral de los sistemas que requieren estar siempre activos para proporcionar asistencia sanitaria ininterrumpida. La evaluación del grado de preparación ante las amenazas es una parte esencial del debate y Akamai sabe muy bien cómo liderarlo.
Si una empresa acepta el riesgo asociado que supone un eslabón relativamente débil en su estrategia de defensa, debe realizar como mínimo una evaluación técnica de qué implicará realizar un esfuerzo de incorporación de emergencia, como el tiempo de aprovisionamiento, el impacto durante el tiempo de aprovisionamiento, los requisitos de configuración de los equipos existentes y el coste”.
Roger Barranco, vicepresidente de Operaciones de Seguridad de Akamai
Más información
¿Desea obtener más información sobre la evolución y amenaza creciente de los ataques DDoS? Durante 30 minutos podrá realizar una revisión de la arquitectura de seguridad con expertos de Akamai que le ayudarán a identificar si corre algún riesgo.
