10 ciberataques a infraestructuras críticas que demuestran lo frágiles que somos todos

Fiabilidad

2024 será recordado como el año en que los ciberataques contra las infraestructuras críticas de gobiernos y organismos públicos se dispararon sin control.

Hemos visto ataques de ransomware contra empresas de suministro de agua, junto con cierres de hospitales y los datos sanitarios de un tercio de los ciudadanos estadounidenses expuestos a malos actores.

El ransomware y las campañas de ciberespionaje han interrumpido servicios esenciales, expuesto datos sensibles y costado miles de millones en daños.

Los grupos de ciberdelincuentes y los atacantes patrocinados por el Estado han demostrado tácticas cada vez más sofisticadas, utilizando vulnerabilidades no parcheadas, malas prácticas de ciberseguridad y vastas redes para violar sistemas críticos.

Desde American Water hasta el puerto y el aeropuerto de Seattle, pasando por UnitedHealth, las herramientas de la sociedad en las que confiamos están siendo atacadas.

Exploramos a través de 10 ejemplos, tanto en Estados Unidos como en el extranjero, por qué debemos tomarnos más en serio los ataques a las infraestructuras antes de que empeoren.

Puntos clave

  • Los ciberataques a infraestructuras críticas se dispararon en 2024, dejando al descubierto vulnerabilidades sistémicas en muchos países y servicios.
  • Los sectores del agua, la sanidad y el transporte fueron los principales objetivos del ransomware y el espionaje.
  • Los datos sanitarios de más de 100 millones de estadounidenses quedaron expuestos en una sola brecha de UnitedHealth.
  • Los actores rusos y chinos respaldados por el Estado parecen ser las principales fuerzas detrás de los sofisticados ataques a los sistemas mundiales.
  • Todos los gobiernos y empresas de servicios públicos necesitan sistemas seguros y estrategias de ciberseguridad: los ataques pueden ser amenazas existenciales para la sociedad.

10 ciberataques a infraestructuras críticas en 2024

Ciberataque Actor Amenazante Tipo de Incidente Motivación Impacto Personas Afectadas
Ransomware obliga a una planta de agua en Arkansas a operar manualmente Desconocido Ransomware – Financiera
– Sabotaje
– La planta de agua opera manualmente
– Investigación del FBI y Homeland Security
≈ 11,000
Hackeo a American Water: El mayor incidente en una compañía de agua en EE. UU. Actor estatal desconocido Acceso no autorizado – Sabotaje de Estado-nación – Portal de usuarios (14 millones) cerrado
– Provoca investigación del FBI y CISA
≈ 14 millones
Ransomware en el puerto y aeropuerto de Seattle causa caos Rhysida Ransomware en VPN – Sabotaje de Estado-nación
– Espionaje
– Ganancias financieras
– Retrasos para millones de viajeros
– Operaciones logísticas clave interrumpidas
≈ Cientos de miles
Ransomware en UnitedHealth expone datos de un tercio de estadounidenses BlackCat (ALPHV) Ransomware
Filtración de datos
– Financiera – Datos privados y de salud expuestos ≈ 100 millones
Interrupción global de Crowdstrike No aplica Actualización automática de Windows forzada No aplica – Llamada “La mayor interrupción global de TI en la historia” ≈ Cientos de millones
Salt Typhoon chino compromete telecomunicaciones y sistemas de intercepción en EE. UU. Salt Typhoon (actor chino) Acceso no autorizado – Ciberespionaje – Sistema de intercepción del gobierno de EE. UU. comprometido
– Impacto severo en seguridad nacional
Desconocido
Filtración de datos de ministros del Reino Unido y la UE en tiempos electorales Desconocido Raspeo y filtración de datos – Financiera
– Política
– Datos personales sensibles de más de 1,000 ministros del Reino Unido y la UE filtrados Desconocido
Ransomware en Londres paraliza hospitales y procedimientos médicos Grupo Qilin, apoyado por el Estado ruso Ransomware
Filtración de datos
Extorsión
– Financiera
– Política
– Sabotaje de Estado-nación
– Operaciones médicas interrumpidas en Londres
– Más de 1,500 procedimientos suspendidos
Desconocido
Gobiernos europeos afectados por el Kremlin ATP 28 (GRU, Rusia) Sabotaje de Estado-nación
Desinformación
Espionaje
– Intereses geopolíticos
– Guerra Ucrania-Rusia
– Impacto total desconocido
– Afecta probablemente a la región y aliados
Desconocido
Ciberataques en Filipinas y conflicto en el Mar del Sur de China Actores chinos vinculados al Estado Sabotaje de Estado-nación
Desinformación
Ciberespionaje
– Intereses geopolíticos
– Conflicto en el Mar del Sur de China
– Impacto total desconocido
– Probable afectación en la región y aliados
Desconocido

10. Un ransomware obliga al agua de Arkansas City a pasar a manual

El 22 de septiembre de 2024, la ciudad de Arkansas City sufrió un ataque de ransomware. La planta se vio obligada a cambiar a operaciones manuales «por precaución». El autor de la amenaza nunca se hizo público.

Sin embargo, el suceso desencadenó una nueva investigación del FBI y de Seguridad Nacional, y Arkansas City añadió su nombre a la preocupantemente larga lista de proveedores de agua estadounidenses afectados por actores de amenazas en 2024.

Los expertos afirman que el sector del agua estadounidense necesita urgentemente inversiones y modernización. Los problemas de seguridad comunes en el sector incluyen equipos heredados, segmentación de TI y tecnología operativa (OT), y seguridad de la cadena de suministro.

9. American Water: Hackear la mayor empresa de suministro de agua de EE.UU.

El 3 de octubre de 2024, la mayor empresa de agua y saneamiento de Estados Unidos, American Water, sufrió un ciberataque.

American Water abastece a 14 millones de personas en 24 estados y 18 instalaciones militares estadounidenses. La calidad y la distribución del agua no se vieron afectadas. Sin embargo, se cerraron los portales de clientes y los servicios de facturación.

Los expertos creen que los atacantes cuentan con el apoyo de un Estado-nación y obtuvieron acceso no autorizado a las redes y sistemas de American Water. Aún no está claro el motivo del ataque ni si los datos o los sistemas se vieron comprometidos.

Alan DeKok, CEO de InkBridge Networks, un proveedor de seguridad de red avanzada, habló de la seguridad en redes industriales como las de agua.

“Muchas redes industriales ni siquiera requieren autenticación: simplemente confían en que si puedes acceder a la red, debes estar autorizado a utilizarla. Este enfoque ingenuo es una reliquia del pasado que ya no nos podemos permitir.”

8. Un ransomware en el puerto y el aeropuerto de Seattle provoca el caos

El 13 de septiembre de 2024, el Puerto de Seattle y el Aeropuerto Internacional de Seattle-Tacoma (SEA) fueron atacados con éxito por un ransomware vinculado a la organización criminal Rhysida.

El ataque dejó fuera de servicio el wi-fi del aeropuerto, los servicios de equipaje, las pantallas de la terminal, los quioscos de facturación, la venta de billetes y las aplicaciones en línea. Las autoridades tardaron tres semanas en volver a poner en marcha todos los sistemas.

Se cree que la banda Rhysida está conectada con la industria rusa del ransomware.

El sofisticado uso de VPN y técnicas de ciberespionaje como «Living-off-the-Land» (uso de herramientas nativas legítimas para organizar un ataque), junto con el papel estratégico de seguridad nacional del puerto y el aeropuerto de Seattle, hacen que este ataque sea algo más que un ransomware clásico.

El ataque causó retrasos a millones de viajeros y empresas, y se desconoce el coste total de los daños financieros.

Anand Oswal, Vicepresidente Senior y Director General de Palo Alto Networks, la empresa de ciberseguridad con sede en California, habló con Techopedia.

«Más que nunca, las organizaciones de infraestructura crítica deben adoptar estrategias de seguridad proactivas para mejorar la visibilidad y la resiliencia en entornos modernos y heredados, un desafío que se complica aún más por las operaciones remotas y las nuevas tecnologías como 5G.»

7. El ransomware de UnitedHealth expone los datos de «un tercio de los estadounidenses

El 25 de octubre de 2024, UnitedHealth reveló que un ataque de ransomware BlackBasta de febrero resultó en la violación de datos personales y de salud de aproximadamente un tercio de la población estadounidense – más de 100 millones de estadounidenses.

El ataque contra UnitedHealth también perturbó las instalaciones sanitarias, provocó importantes retrasos en el sector médico y causó daños multimillonarios a UnitedHealth.

BlackCat (alias ALPHV) accedió a través de protocolos de inicio de sesión no seguros utilizando credenciales robadas que no contaban con autenticación multifactor (MFA).

Según los informes, UnitedHealth pagó 22 millones de dólares de rescate, pero los datos aún se filtraron después de que BlackCat fuera cerrado por el FBI y sus socios.

6. La actualización de Crowdstrike se convierte en la mayor interrupción informática mundial de la historia

El 19 de julio, el mundo se detuvo cuando los hospitales suspendieron sus servicios, los aeropuertos se convirtieron en un caos, miles de aviones de todo el mundo se quedaron en tierra y millones de dispositivos y empresas se apagaron por la actualización automática de Windows corrupta de CrowdStrike de Microsoft.

Aunque este ataque no fue malicioso, lo incluimos aquí porque revela los peligros de un mundo altamente interconectado que opera en una nube centralizada -recordemos que «cualquier incompetencia suficientemente avanzada es indistinguible de la malicia».

El incidente cibernético también afectó a bancos, hoteles, fábricas, mercados de valores, radiodifusión, gasolineras, tiendas minoristas y muchos otros en todo el mundo, incluidos los servicios gubernamentales.

Audian Paxson, estratega técnico principal de IronScales, una firma de seguridad de correo electrónico en la nube impulsada por IA, dijo a Techopedia:

“Si 2024 nos enseñó algo, es que la infraestructura crítica de Estados Unidos está patinando sobre hielo delgado cuando se trata de ciberseguridad. Este año ha sido una clase magistral sobre cómo estar desprevenido».

«¿Los culpables? No sólo malware sofisticado y ransomware, sino una mezcla de software obsoleto y prácticas de contraseña perezosas salpicadas con una capa de ‘ya lo parchearemos más tarde’.»

«Tenemos que dejar de tratar la ciberseguridad como un problema de TI y empezar a abordarlo como un problema humano y organizativo», dijo Paxson.

5. Un tifón de sal chino irrumpe en el sistema de telecomunicaciones y escuchas telefónicas del Gobierno de EE.UU.

En noviembre de 2024, el actor de ciberespionaje chino Salt Typhoon accedió a los principales entornos de telecomunicaciones de Estados Unidos, como AT&T, Verizon y T-Mobile, y también violó el sistema de escuchas telefónicas y los datos del gobierno estadounidense.

Durante la campaña presidencial estadounidense, el FBI anunció que estaba investigando un posible pirateo chino de los teléfonos utilizados por el presidente Trump y el vicepresidente JD Vance.

Los déficits técnicos que impulsaron el éxito de este ciberataque incluyen la falta de 5G privado, la dependencia de terceros, las vulnerabilidades de la nube y la falta de segmentación.

Antonio Sánchez, Evangelista Principal de Fortra, habló con Techopedia sobre el problema en cuestión y las soluciones de seguridad.

“Las organizaciones deben asegurarse de segmentar la red. También sería prudente traer a un tercero para realizar pruebas de penetración y simulación de adversarios para encontrar brechas en la cobertura que necesitan ser endurecidas.”

4. Filtración de datos de ministros del Reino Unido y la UE en época electoral

El 30 de mayo de 2024, una investigación de la dark web descubrió que los datos oficiales del gobierno de los ministros del Parlamento Británico, del Parlamento Europeo y del Parlamento Francés habían sido expuestos en la dark web.

La filtración se produjo semanas antes de las elecciones europeas y de las elecciones de julio en el Reino Unido. Los datos de más de 1.000 funcionarios del gobierno, incluidos correos electrónicos, contraseñas, fechas de nacimiento y otros datos sensibles, quedaron expuestos en línea.

Agentes de amenazas desconocidos aprovecharon las malas prácticas de ciberseguridad que tenían los funcionarios del gobierno, concretamente la reutilización de datos oficiales del gov para cuentas públicas.

El ataque, en época electoral, dejó a los funcionarios del gobierno vulnerables a ataques sin archivos, robo de identidad, phishing, extorsión, deepfakes, toma de cuentas y campañas de desinformación.

3. Los ciberataques de Filipinas y el conflicto general del Mar del Sur

En abril de 2024, los investigadores de ciberseguridad descubrieron que el número de ciberataques dirigidos a Filipinas se había disparado un 325%.

Los ciberataques en Filipinas incluyeron el ataque del grupo Mustang Panda, dirigido contra el gobierno, los ataques DDoS de Exodus Security y el acceso no autorizado a sistemas.

La empresa estadounidense de ciberseguridad Resecurity descubrió que, si bien algunos de los ciberataques se habían llevado a cabo en el país, resultaban evidentes los vínculos con grupos que presuntamente trabajaban con China.

La oleada de ciberataques se produjo mientras se intensificaban las tensiones entre ambos países por el Mar de China Meridional. Otros países que han visto operaciones cibernéticas perturbadoras chinas similares son Vietnam, Taiwán y otros de la región.

2. El ransomware de Londres paraliza hospitales y procedimientos médicos

A principios de junio de 2024, un ataque de ransomware contra Synnovis, una empresa británica de servicios patológicos, provocó la cancelación de operaciones en varios hospitales de Londres, entre ellos el St. Thomas, el Royal Brompton y el Evelina London Children’s Hospital.

Se cree que los autores de la amenaza accedieron al sistema informático de Synnovis mediante phishing.

También se cree que el grupo de ransomware Qilin, apoyado por el Estado ruso, está detrás de este ataque.

El NHS calificó el suceso de «incidente crítico». Afectó a las transfusiones de sangre y, en consecuencia, provocó la cancelación de numerosas operaciones médicas, servicios de urgencias y citas.

1. Europa golpeada por el Kremlin en la guerra híbrida de Rusia contra los aliados de Ucrania

El 3 de mayo de 2024, el ministro del Interior alemán reveló que ATP 28, un actor de amenazas que se cree que forma parte de la agencia de inteligencia militar rusa (GRU), obtuvo acceso a la sede del partido socialdemócrata, a los sectores de defensa y aeroespacial, así como a la industria de la aviación.

Cinco días después, Polonia informó de que ATP 28 había atacado sus redes gubernamentales. Kosovo también denunció ciberataques mientras se encontraba en Francia en vísperas de los Juegos Olímpicos, y durante el evento, oleadas de campañas de desinformación malintencionadas supuestamente coordinadas por Rusia erosionaron la confianza en la seguridad e integridad de las Olimpiadas.

Estos ataques forman parte de una guerra híbrida rusa más amplia en Europa. El principal objetivo de esta guerra híbrida es impulsar la agenda de Rusia durante las elecciones y sabotear el apoyo de los aliados de la OTAN a Ucrania.

Lo esencial

Los ataques contra gobiernos, sistemas de seguridad nacional, logística y transporte, y sanidad y agua revelan una clara advertencia: Las amenazas de los estados-nación, las bandas de ciberdelincuentes y los hacktivistas tienen a las infraestructuras críticas en su punto de mira.

Aunque existen soluciones técnicas para hacer más seguro el sector de las infraestructuras críticas, la cuestión es si las organizaciones y las autoridades reaccionarán a tiempo o seguirán apagando fuegos hasta que una tragedia humana evitable conmocione al mundo.

Como nos dijo Christopher Warner, Consultor Senior de Seguridad de GuidePoint Security, la empresa de consultoría y servicios de ciberseguridad:

«Hemos visto sistemas de abastecimiento de agua comprometidos, redes de transporte paralizadas, subestaciones eléctricas atacadas, amenazando con apagones generalizados, y cadenas de suministro de alimentos puestas en peligro».

«Desde los puertos marítimos hasta el transporte aéreo, estas interrupciones dejan una cosa clara: estos ataques no son sólo brechas técnicas; son amenazas existenciales para naciones y regiones enteras».

Preguntas frecuentes

¿Cuáles son los objetivos más comunes de los ciberataques a infraestructuras?

¿Por qué los Estados-nación atacan las infraestructuras críticas?

¿Cuál fue el atentado más importante contra las infraestructuras en 2024?

¿Cuáles son los costes financieros de los ciberataques a infraestructuras?

¿Por qué el ransomware ataca con frecuencia al sector sanitario?

Temas relacionados

Artículos relacionados

Neil C. Hughes
Senior Technology Writer
Neil C. Hughes
Experto en Tecnología

Neil es un periodista tecnológico independiente con más de dos décadas de experiencia en tecnologías de la información. Reconocido como una de las Voces Principales en tecnología en LinkedIn y destacado por CIO Magazine y ZDNet por sus perspicaces aportes, Neil ha contribuido a publicaciones como INC, TNW, TechHQ y Cybernews, además de ser el anfitrión del popular podcast Tech Talks Daily.