Un terremoto sacude una ciudad de Indiana, provocando caos y destrucción, lo que hace que los gestores de emergencias y los socorristas se pongan en marcha. Entonces, el sistema de agua se cae, y todos creen que es debido al desastre natural.
Pero no es así. Se trata de un ataque de ransomware por parte de ciberdelincuentes, que aprovechan la disrupción para infiltrarse en la red del sistema de agua.
El incidente no es real, pero se trata de un escenario que se representó como parte de un simulacro de ciberseguridad a gran escala de tres días de duración en Indiana, en agosto, al que asistieron más de 500 personas, entre ellas miembros de la Guardia Nacional de Indiana, personal de primeros auxilios, proveedores de atención de la salud y funcionarios estatales, locales y federales.
"Todas las manos están a la obra durante un desastre natural. Ahora, además de una mala situación, ocurre algo más. Eso lo empeora todo", dijo Chetrice Mosley Romero, directora del programa de ciberseguridad de Indiana, que ayudó a planificar el ejercicio. "Los ciberactores buscan esta oportunidad. Ven la vulnerabilidad".
Los ciberdelincuentes, cada vez más sofisticados, pudieran aprovechar las catástrofes naturales como huracanes, incendios forestales y tornados para causar estragos en las infraestructuras críticas, según expertos, como el transporte, la respuesta a emergencias, los sistemas de agua y alcantarillado y los hospitales.
Por ello, Indiana y otros gobiernos estatales y locales están tratando de prepararse mediante la realización de simulacros o la creación de planes de preparación.
Solo este año, el Centro de Análisis e Intercambio de Información Multiestatal, un grupo financiado por el gobierno federal que ayuda a los gobiernos estatales y locales a prevenir y responder a las amenazas digitales, ha participado en 10 ejercicios virtuales. La mitad de ellos incluyeron debates sobre cómo planificar el doble impacto de un ciberataque y una catástrofe natural, dijo Randy Rose, director de inteligencia sobre ciberamenazas. Este año están previstas dos sesiones más.
"Casi siempre vemos algún pico en los intentos de ciberataques con motivo de algún evento importante, ya sea un desastre natural o cualquier otra cosa", dijo Rose. "Es una forma más fácil de que los actores de amenazas se posicionen. Se aprovechan de un sistema en un estado debilitado".
Rose no quiso identificar a los gobiernos estatales y locales que participan en los ejercicios, patrocinados por el gobierno federal a través de la Agencia de Ciberseguridad y Seguridad de las Infraestructuras y realizados en coordinación con su agencia y los funcionarios estatales y locales. Parte del ejercicio suele consistir en que los gobiernos se preparen para un ciberataque coordinado poco después de una gran catástrofe.
"No basta con decir que tenemos una política establecida. Hay que actualizarla periódicamente", dijo Rose. "Hay que asegurarse de que funciona. Hay que saber a quién llamar, quién tiene qué papel por desempeñar, quién es responsable de qué".
En Houston, la ciudad y el Instituto Cibernético del Ejército de Estados Unidos llevaron a cabo un simulacro de tres días en julio de 2018 que simulaba un ciberataque durante un huracán. El año anterior, el huracán Harvey, de categoría cuatro, había golpeado el área metropolitana de Houston, provocando las peores inundaciones de su historia y obligando a miles de personas a abandonar sus hogares.
El simulacro, que se centró en servicios de la ciudad como el agua, la atención de la salud, el puerto y la respuesta de emergencia, reunió a participantes de agencias locales, estatales y federales, algunos de los cuales nunca habían interactuado entre sí, dijo Jack Hanagriff, coordinador de protección de infraestructuras críticas de la Oficina de Seguridad Pública y Seguridad Nacional del alcalde.
Como resultado del simulacro, Houston ha llevado a cabo varios programas regionales de capacitación con los gobiernos locales centrados en una catástrofe natural que coincida con un ciberataque, dijo Hanagriff.
"Nos llevamos mucho de lo que aprendimos [durante el simulacro], como la necesidad de una mejor comunicación y una mejor cooperación", dijo. "Deben entender las lagunas y formar a su gente. Y gran parte de esto es simplemente conseguir que la gente confíe en los demás para que puedan empezar a dialogar".
Los expertos en seguridad dicen que no conocen ningún ciberataque importante contra un gobierno estatal o local durante una catástrofe natural, pero que es solo cuestión de tiempo.
Y si un hacker lanza una disrupción que coincida con una catástrofe natural, eso podría obstaculizar en gran medida a los servicios de primeros auxilios, los hospitales, los servicios públicos y las agencias gubernamentales, según la National Association of State Chief Information Officers.
Pudiera crear un efecto dominó como la pérdida de energía eléctrica, agua, telecomunicaciones y otras infraestructuras.
"En un momento de gran presión, la gente tiene que tomar muchas decisiones rápidamente. Se enfrentan a múltiples puntos de tensión", dijo Doug Howard, director general de Pondurance, una empresa de ciberseguridad con sede en Indianápolis que fue uno de los principales participantes en el simulacro de Indiana.
"El mensaje principal no fue tanto el escenario y lo que hicimos", dijo Howard. "Fue que el estado se tomó la iniciativa y dijo: '¿Qué haríamos nosotros?'".
Howard dijo que los datos de su empresa muestran que las amenazas aumentan cuando una catástrofe natural se acerca o golpea una zona.
"¿Deben los estados prepararse para esto? Absolutamente", dijo Dan Lohrmann, jefe de seguridad de Security Mentor, una empresa nacional de capacitación en ciberseguridad que trabaja con los estados. "Hay que asumir que un ataque combinado como este va a ocurrir".
Y, como el cambio climático está provocando desastres naturales más frecuentes, añadió Lohrmann, los ciberataques pudieran ser más probables.
"Si consiguen desactivar las comunicaciones en medio de un gran huracán, un incendio, una inundación o un tornado, la policía estatal no podrá hablar entre sí. Es de vital importancia tener los sistemas seguros antes de que eso ocurra. Deben planearlo".
En Carolina del Norte, un grupo de trabajo conjunto de ciberseguridad del estado es capaz de gestionar un ataque durante una catástrofe natural, dijo Rob Main, el jefe interino de riesgos del estado.
Pero Main dijo que hacer un simulacro intensivo centrado solo en ese tema, como los de Indiana y Houston, tiene sentido y sería beneficioso para todos los estados.
El simulacro de agosto en Indiana tuvo lugar en el Muscatatuck Urban Training Center, de mil acres, de la Guardia Nacional de Indiana. Ubicado en el sur de Indiana, el centro cuenta con su propio simulacro de ciudad, que incluye más de 190 estructuras, casi dos millas de túneles subterráneos, espacio aéreo, un embalse y más de nueve millas de carreteras. Puede simular ataques de la vida real contra las comunicaciones, la energía, el agua y otras infraestructuras críticas.
Mosley Romero, de Indiana, dijo que el ejercicio de doble catástrofe cibernética y natural tenía por objeto educar y optimizar las comunicaciones entre los diversos organismos y cerrar cualquier brecha en el servicio y la respuesta.
"Fue bueno para que los bomberos y el personal de emergencias vieran los efectos de algo con lo que no necesariamente tienen que lidiar", dijo. "Desde el punto de vista cibernético, necesitamos una educación continua con los primeros auxilios y hacer un mejor trabajo para asegurarnos de que todos los gestores de emergencias locales se comuniquen con el estado".
Mosley Romero dijo que su agencia aprovechó las lecciones aprendidas y realizó una presentación virtual para más de 100 empresas de aguas residuales del estado a principios de este mes.
"Ese fue el mayor éxito del ejercicio", dijo. "Poder transmitir esos conocimientos".
