¿Su empresa comprende realmente sus dependencias y cómo mitigar los riesgos que plantea un ataque a ellas?
12 de agosto de 2025
•
,
4 min. leer
Un panel de discusión en DEF CON 33 la semana pasada, titulado “Adversarios en guerra: tácticas, tecnologías y lecciones de los campos de batalla modernos«, ofreció varios puntos que invitan a la reflexión, así como una conclusión clara: si bien las tácticas digitales como la desinformación y las campañas de influencia son útiles en los conflictos modernos, no van a ganar una guerra. Esto se debe a que cuando las bombas comienzan a caer y los elementos físicos de la guerra están en marcha, la información errónea que se difunde a través de canales digitales se vuelve menos importante. Es comprensible que las víctimas del conflicto y los desplazados tengan prioridades más urgentes: comida, refugio y mantenerse con vida.
Volviendo a la cuestión de si se podría ganar una guerra mediante ciberataques y disrupción digital, también hubo acuerdo entre los panelistas en que los ciberataques crean daños temporales, mientras que una bomba que cae sobre algo es un método de destrucción más eficaz y duradero.
Los ataques contra infraestructura crítica en Ucrania potencialmente lo confirman: actores alineados con Rusia han lanzado numerosos ataques cibernéticos contra la red eléctrica del país, lo que ha resultado en interrupciones temporales a medida que los sistemas pueden reconstruirse y volver a ponerse operativos en un período de tiempo relativamente corto. Mientras tanto, una bomba que caiga sobre una instalación eléctrica probablemente cause daños a largo plazo y una limitación del servicio que podría tardar meses o años en restaurarse. La conclusión general de esta parte de la mesa redonda es que una guerra no se puede ganar sólo con medios cibernéticos: todavía es necesario ganarla en el campo de batalla físico.
Seguridad cibernética y física
La discusión luego evolucionó hacia cómo lo cibernético afecta lo físico. Un panelista hizo el comentario en el sentido de que “un ejército no puede luchar si no ha sido alimentado”. Dicho de otra manera, a medida que se utiliza un número cada vez mayor de contratistas civiles para proporcionar la logística necesaria para operar un ejército, la superficie de ataque es más amplia de lo que parece.
El panel utilizó Taco Bell como analogía ficticia. Un hacker podría afirmar que modificó el suministro de agua en Taco Bell, pero si se examina más de cerca, podría ser simplemente que han manipulado el enfriador de agua de un restaurante, lo que no sería suficiente para afectar sus operaciones.
Sin embargo, un ciberataque a la cadena de suministro de Taco Bell podría detener sus operaciones. ¿Cómo? Suspendiendo las entregas de productos al restaurante. Esta dependencia podría ser aún más oscura: un ataque a las empresas que suministran la carne utilizada en los tacos podría provocar que Taco Bell cese sus operaciones debido a la falta de ingredientes para las comidas. La analogía es válida para los militares: sin alimentos, las tropas no pueden luchar o, en el mejor de los casos, son limitadas.
Qué significa esto para tu negocio
Más allá del panel de discusión, esto plantea una pregunta crítica para las empresas: ¿realmente entienden que sus dependencias son operativamente resilientes? ¿Entienden la dependencia que sus clientes tienen de ellos para garantizar el funcionamiento continuo de sus propios negocios?
Siguiendo con la analogía de Taco Bell, imaginemos un ciberataque que elimina un elemento clave que la empresa necesita para funcionar; por ejemplo, si la empresa depende de un proveedor para el condimento para tacos, entonces un ciberataque contra el proveedor podría afectar la capacidad de Taco Bell para seguir operando. Esto no es una mera especulación: hay ejemplos del mundo real de ciberataques que han causado este tipo de perturbaciones. Por ejemplo, el ciberincidente sufrido por Change Healthcare, una empresa de procesamiento de datos sanitarios, impidió la prestación de servicios médicos en consultorios y hospitales.
Hoy en día, hasta donde yo sé, los ciberdelincuentes sólo extorsionan a aquellos a quienes atacan directamente. Pero, ¿qué pasaría si un ciberdelincuente decidiera atacar al tercero y luego exigir un pago de extorsión a todas las empresas que dependen de ese proveedor? En mi ejemplo, supongamos que la empresa de condimentos para tacos se ve interrumpida por un ransomware y, si bien el ciberdelincuente puede pedirle a la empresa de condimentos que pague una demanda directamente, en realidad puede ganar más si solicita el pago a todas las empresas que dependen del producto del proveedor, ya que la falta de suministro puede costarles más que al propio proveedor.
Si bien esta estrategia de monetización puede parecer especulativa, hay un punto importante aquí: ¿su empresa realmente comprende sus dependencias y cómo mitigar el riesgo de ataque a aquellos de quienes depende? Un ejemplo del mundo real podría ser un ataque a una empresa de catering contratada para alimentar a los pacientes en un hospital. Si la capacidad de alimentar a los pacientes se ve interrumpida debido a un ciberataque, es posible que el hospital tenga que declarar un incidente grave y cerrar las admisiones de nuevos pacientes. En este escenario, ¿el hospital pagaría una demanda de extorsión que recuperara la oferta de catering?
Para mí, la conclusión clave de esta sesión del panel es la siguiente: todos debemos mapear y comprender completamente las dependencias de las que dependemos y asegurarnos de que tengamos resiliencia cuando sea necesaria. Si no podemos llegar a un punto de resiliencia, al menos debemos comprender el riesgo que plantean las dependencias.
Acerca del autor
