McAfee y el Centro para Estudios Estratégicos e Internacionales (CSIS) han anunciado las conclusiones de un informe que refleja el coste y el impacto de los ciberataques a infraestructuras críticas de sectores como el de la energía, el petróleo, el gas y el agua. La encuesta, realizada a 200 directores de seguridad de TI de empresas de infraestructuras críticas en 14 países, desvela que el 40% de ellos cree que la vulnerabilidad de la industria ha aumentado. El 30% piensa que su empresa no está preparada para un ciberataque y más de un 40% espera un importante ciberataque el próximo año.
Este informe es una continuación del lanzado el año pasado "En el punto de mira: las infraestructuras críticas en la era de la ciberguerra", que afirmaba que muchas de las infraestructuras críticas de todo el mundo carecían de protección en sus redes de ordenadores y reveló el asombroso coste e impacto de los ciberataques en estas redes. El nuevo estudio destaca que, mientras que el nivel de amenazas destinadas a estas infraestructuras se ha acelerado, no lo ha hecho las respuestas a dichas amenazas, incluso después de que la mayoría de los encuestados encontrara malware diseñado para sabotear sus sistemas (aproximadamente el 75%) y cerca de la mitad de los encuestados pertenecientes al sector eléctrico afirmó haber encontrado Stuxnet en sus sistemas. Esta amenaza a infraestructuras incluye también redes eléctricas de distribución inteligente, cada vez más extendidas, y se espera que el gasto a nivel mundial sobrepase los 45.000 millones de dólares en 2015.
Otras conclusiones clave del informe:
- Los ciberataques todavía prevalecen: un 80% de los encuestados se ha enfrentado a un ataque de denegación de servicio (DDoS) y un cuarto de ellos informó diaria o semanalmente de ataques de este tipo y/o fueron víctimas de extorsión a través de ataques de red.
- Los intentos de extorsión fueron más frecuentes en los sectores de infraestructuras críticas: uno de cada cuatro encuestados ha sido víctima de extorsión a través de ciberataques o de amenazas de ciberataques. El número de compañías susceptibles de ser extorsionadas aumentó un 25% el año pasado, y los casos de extorsión estaban distribuidos por igual entre los diferentes sectores de infraestructuras críticas. México y la India tienen un elevado ratio de intentos de extorsión; entre el 60 y el 80% de los encuestados en dichos países ha reconocido haberlos sufrido.
- Las organizaciones fracasan en la adopción de seguridad eficaz: las medidas de seguridad sofisticadas impuestas a los usuarios fuera de las instalaciones son escasas, ya que solo un cuarto de los encuestados implementa herramientas para analizar la actividad de red, y el 36% utiliza herramientas para detectar comportamientos anómalos.
- Países conscientes de la seguridad: Brasil, Francia y México tienen los índices de adopción de medidas de seguridad más bajos, casi un 50% inferior al que mostraron los líderes que son China, Italia y Japón. Al mismo tiempo, China y Japón estaban también entre los países con los niveles de confianza más altos en la capacidad de las leyes actuales para prevenir o detener ataques en sus países.
- EE.UU y Europa se encuentran por detrás de Asia en cuanto a interacción con el gobierno: los encuestados en China y Japón declararon tener altos niveles de interacción formal e informal con sus gobiernos en lo que se refiere a seguridad, mientras que EE.UU, España y Reino Unido admiten intercambiar escasa o ninguna información con el gobierno en temas de seguridad.
- Las organizaciones temen ataques de gobiernos: más de la mitad de los encuestados afirma haber sufrido ataques procedentes de gobiernos.
McAfee (27-04-2011)
