La industria de la fruta de árbol no es inmune.
Los ataques de programas de chantaje (ransomware) similares a los que cerraron Colonial Pipeline y JBS Foods en mayo 2021 fueron dirigidos a docenas de empresas alimentarias.
Aunque es un tema incómodo, a algunos expertos en tecnología de la información (TI) de este sector les gustaría hablar más de ello. Es la mejor manera de defenderse, aseguran.
“De repente empiezas a tapar puntos débiles que no sabías que tenías”, indicó un director de TI de una empresa frutícola de Washington con una integración vertical que pidió el anonimato porque ha sido víctima. Good Fruit Grower concedió el anonimato para evitar atraer más intentos.
Hace unos cuatro años, en esa empresa, un empleado normalmente alerta y conocedor de la tecnología abrió un correo electrónico malicioso, hizo clic en un enlace nefasto y los servidores empezaron a apagarse de inmediato. El programa maligno (malware) no se propagó mucho, el problema se solucionó sin tener que pagar un rescate y las copias de seguridad restauraron la mayoría de los datos cifrados en un día.
El director de TI ha compartido esta historia con otros técnicos y directores de TI del sector frutícola de Washington, que han creado un grupo informal para compartir ideas.
“Todos podemos beneficiarnos del conocimiento y la experiencia de los demás”, aseguró.
Cualquier negocio que dependa de la producción continua y del movimiento de mercancías es vulnerable. La industria alimentaria, con existencias perecederas, entra en esa categoría.
En noviembre del año pasado, Tree Top se vio afectada por una cuenta de usuario comprometida que cifró los servidores con un programa de chantaje, informó Allison Arnett, portavoz de la empresa. La empresa no pagó el rescate.
Tree Top contrató a un investigador forense para rastrear las consecuencias. El hackeo no afectó a ninguna de las operaciones de procesamiento de alimentos en ninguna de las plantas, pero interrumpió los servicios administrativos, como el envío de facturas, cerca de una semana.
Casualmente, el hackeo se produjo cuando la empresa había terminado con cerca del 90 % de una importante actualización de los sistemas que incluía nuevas funciones de seguridad. La actualización reforzó la redundancia de las copias de seguridad.
“Lo más importante que aprendimos es que hay que tener varios métodos para hacer las copias de seguridad de datos”, indicó Arnett. El objetivo es volver a funcionar en un máximo de 48 horas, en lugar de una semana, si vuelve a ocurrir.
Los programas de chantaje no son nuevos, pero la preocupación alcanzó un punto álgido en mayo, cuando los piratas informáticos cerraron Colonial Pipeline, el mayor oleoducto de combustible del país, y consiguieron extorsionar 4.4 millones de dólares. También en mayo, los piratas informáticos atacaron a JBS, un conglomerado alimentario brasileño y el mayor proveedor de carne del mundo. Según los informes, JBS pagó 11 millones de dólares a los piratas informáticos.
En el último año, al menos 40 empresas alimentarias han sido objeto de programas de chantaje, según una firma de ciberseguridad entrevistada por Associated Press. En octubre del año pasado, un representante de un grupo de piratas informáticos rusos dijo en una entrevista en línea que el sindicato comenzaría a enfocarse en la agricultura, también según la agencia de noticias Associated Press.
Los piratas informáticos son cada vez más sofisticados y buscan rescates más elevados, según informó la Agencia de Ciberseguridad y Seguridad de Infraestructuras, una agencia federal dependiente del Departamento de Seguridad Nacional, en su guía sobre los programas de chantaje para 2020.
Medidas de protección y capacitación
La buena noticia es que las empresas productoras de fruta pueden hacer cosas para protegerse.
Muchas de las medidas técnicas de seguridad (servidores de respaldo sin conexión a redes de Internet (air gap), uso de la verificación multifactorial e instalación de filtros de sistemas de nombres de dominio) son competencia de los directores de tecnologías de la información (TI). (¿No sabe qué significan algunas de estas palabras? Consulte el recuadro de la página siguiente…)
Pero todo el mundo en una empresa puede y debe ayudar a través de la concientización, dijeron varios expertos.
“Nada sustituye a un usuario astuto y consciente”, señaló Dan Maycock, director de Loftus Labs, una filial de consultoría de datos agrícolas de Loftus Ranches en Yakima, Washington.
La capacitación debe ser continua, afirmó Maycock. Habitualmente en las reuniones de la empresa y en los tablones de anuncios internos, él menciona las amenazas a la seguridad y los correos electrónicos fraudulentos. Según su experiencia, los empleados a veces bajan la guardia con las contraseñas y las fuentes de correo electrónico cuando saben que sus empresas tienen una seguridad digital sólida.
A principios de año en Price Cold Storage and Fruit, en Yakima, un supervisor alertado descubrió recientemente un intento de hackeo bien disimulado, informó el director de TI Jeremy Hines.
Cualquier empleado habría tenido la tentación de cargar la misteriosa factura por los escasos 21.68 dólares en la tarjeta de crédito de la empresa. En cambio, el supervisor no reconoció al proveedor y avisó a Hines, quien investigó la factura con el departamento de cuentas por pagar. No se concilió, así que la empresa la descartó.
Si el supervisor hubiera caído en la trampa, los culpables habrían ingresado a una lista de proveedores aprobados, habrían establecido cierta confianza y probablemente habrían tratado de engañar a otro empleado para que instalara un programa maligno, tal vez un programa de chantaje.
“Los programas de chantaje son una estafa que lleva mucho tiempo por ahí”, aseguró Hines.
Loftus, Price, Tree Top y otras empresas capacitan a sus trabajadores en ciberseguridad para que estén alertas.
Esa capacitación funciona, según una métrica diseñada por una empresa. La empresa de ciberseguridad KnowBe4 la denomina porcentaje de “propensión a las ciberestafas (phishing)”, es decir, el porcentaje de empleados que podrían caer en la trampa de un programa maligno disfrazado, generalmente enviado por correo electrónico. La empresa mide esto probando a sus clientes con intentos de ciberestafas simuladas que informarán a los administradores exactamente quién en la empresa hizo clic en un enlace inofensivo que en la vida real podría no serlo tanto.
Los porcentajes promedios de propensión a las ciberestafas se redujeron del 40 al 14 por ciento después de 90 días de capacitación por computadora y pruebas simuladas, escribió la empresa en un informe de 2020 en el que se analizaron los resultados de 9.5 millones de pruebas en 17,000 de sus clientes. El porcentaje se redujo al 4.7 % tras un año de capacitación continua.
Price Cold Storage ha realizado este tipo de pruebas a ejecutivos de alto nivel, así como a personal de oficina, indicó Hines. “Eso ha sido un gran problema para nosotros, en concreto para las personas que tienen mucho acceso”, afirmó.
La empresa anónima atacada hace cuatro años llevó la prueba de penetración aún más lejos. Contrató a un consultor de seguridad para poner a prueba las cerraduras. Vestido con traje, maletín y lanzando nombres de funcionarios de la empresa, el impostor se abrió paso en el almacén y en las oficinas de los empleados con computadoras desbloqueadas. Incluso convenció a una supervisora del turno de noche para que se retirara de su escritorio y pudiera “realizar algún tipo de mantenimiento”, informó el director de TI.
Los piratas informáticos se aprovechan de la confianza y la bondad de la gente honesta, afirma Lance Fuhrman, analista de inteligencia sobre amenazas de ciberseguridad del Centro de Fusión del Estado de Washington, una red de intercambio de información sobre seguridad creada tras los atentados terroristas del 11 de septiembre de 2001.
“La gente se aprovecha del comportamiento humano, porque uno quiere ser servicial y amable”, señaló Fuhrman.
Fuhrman envía correos electrónicos semanales a los directores de TI para advertirles de las tendencias y amenazas emergentes. También ha asesorado a empresas de frutas del árbol tras los hackeos.
Dijo que otro intento de hackeo común es dejar llaves USB por el edificio, con la esperanza de que los empleados, al tratar de ser serviciales, las conecten a sus computadoras para averiguar a quién pertenecen. Ahí entra el programa maligno.
“Usted tiene que acertar siempre”, indicó Fuhrman. “Los malos solo tienen que acertar una vez”.
—por Ross Courtney
Programas de preparación
La capacitación y la concienciación son los elementos más importantes de la ciberseguridad, pero esta también requiere soluciones tecnológicas. Los directores de TI y los expertos en ciberseguridad de árboles frutales recomiendan lo siguiente:
—Utilizar la autenticación multifactorial, que detiene alrededor del 95 % de los intentos de ciberestafas por correo electrónico, afirmó Lance Fuhrman, analista de inteligencia de amenazas del Centro de Fusión del Estado de Washington.
—Verificar cualquier cambio de la Cámara de Compensación Automatizada o ACH, por sus siglas en inglés, utilizando la información del contrato en el registro, indicó Fuhrman. No confíe solo en un correo electrónico o en un formulario digital. Los depósitos automáticos de nóminas o contratos son ejemplos de ACH.
—Instalar los parches de las vulnerabilidades de inmediato. Para eso sirven muchas de las actualizaciones de software. Los malos también ven las actualizaciones y hacen ingeniería inversa para encontrar los puntos débiles correspondientes, “porque saben que la gente no va a instalar el parche de manera oportuna”, afirma Fuhrman.
—Hacer copias de seguridad con frecuencia y volver a verificarlas. A veces no funcionan del todo porque algún nuevo usuario inició sesión o alguien cambió el software.
—Tener un espacio de aire de su copia de seguridad, ya sea que esté en la nube o en un hardware. Es decir, asegúrese de que se desconecte del sistema computarizado una vez realizada la copia de seguridad.
—Asegurarse de que la identificación de los empleados, como los números de Seguridad Social, no esté en las aplicaciones laborales.
—Pedir a los empleados que cambien sus contraseñas con periodicidad o utilizar un software de gestión de contraseñas.
—Utilizar el filtrado de sistemas de nombres de dominio.
—Emplear sistemas de prevención de intrusiones que utilicen inteligencia artificial para reconocer los intentos de ataque.
—Asegurarse de que todas las computadoras y los servidores tengan software antivirus y firewalls.
—Probar una copia de seguridad instantánea. Una instantánea es una imagen puntual de los datos que el software de respaldo de seguridad puede utilizar para restaurar un sistema, explicó Jeremy Hines, director de TI de Price Cold Storage and Fruit. Los nuevos datos se escriben en diferentes partes del disco.
—Contratar una auditoría externa por parte de una empresa de seguridad informática, dijo Dan Maycock, director de Loftus Labs, una empresa de análisis de datos agrícolas.
—Encontrar a un ejecutivo o miembro del consejo de administración con cierta influencia en el presupuesto para que haga suya la causa. Algunas medidas son costosas, afirmó Hines.
—Para conocer una gran cantidad de consejos sobre los programas de chantaje de la Agencia Federal de Ciberseguridad y Seguridad de Infraestructura, consulte: www.cisa.gov/ransomware.
—R. Courtney