Introducción
En mayo de 2024, el CEO del National Cyber Security Centre (NCSC) británico, Richard Horne, reveló que el 75% de los incidentes en infraestructura crítica del Reino Unido fueron atribuidos a actores estatales. Este dato no es un detalle menor: representa un cambio de paradigma en cómo Occidente debe abordar la ciberseguridad. Horne no habló de «riesgos» manejables, sino de un «contest» —un campo de batalla activo donde las operaciones de inteligencia de hoy determinarán los ataques físicos de mañana—.
La declaración llega en un contexto donde las operaciones de preposicionamiento (establecer presencia en sistemas críticos con meses o años de antelación) se han convertido en la táctica preferida de actores como China, Rusia e Irán. Según el NCSC, estas campañas buscan «establecer puntos de apoyo en tecnologías que sustentan la infraestructura nacional crítica, listos para ser explotados en un conflicto», un patrón que el caso Volt Typhoon —expuesto por Microsoft en mayo de 2023— ilustró con claridad.
Qué ocurrió
En su discurso anual en el Royal United Services Institute, Horne detalló que, en el año hasta mayo de 2024, el NCSC manejó más de 200 incidentes en infraestructura crítica, con un 75% vinculados a actores estatales. Esto no es un fenómeno aislado: en 2023, el NCSC ya reportaba cuatro incidentes significativos por semana, la mayoría atribuidos a gobiernos hostiles en lugar de grupos criminales.
Lo más preocupante es el preposicionamiento. Horne advirtió que adversarios como China están infiltrando sistemas críticos (energía, agua, telecomunicaciones) años antes de cualquier conflicto, esperando el momento óptimo para activar sus herramientas. El ejemplo más citado es Volt Typhoon, una campaña china descubierta por Microsoft en mayo de 2023 que:
- Afectó infraestructura de telecomunicaciones en EE.UU. (incluyendo Guam, estratégica para operaciones militares).
- Usó técnicas de living-off-the-land (LotL) con herramientas legítimas de Windows (como
adfind.exepara enumeración de Active Directory). - Se mantuvo en silencio durante al menos dos años antes de ser detectada.
Horne también destacó que el NCSC ya no trata estos incidentes como «riesgos» gestionables, sino como operaciones de influencia en un dominio en disputa permanente. Esto alinea al Reino Unido con la postura de la OTAN, que en su Concepto Estratégico 2022 declaró que el ciberespacio es «contestado en todo momento», y con declaraciones de oficiales del U.S. Cyber Command sobre los «efectos estratégicamente consequenciales» de estos ataques incluso por debajo del umbral de guerra.
Impacto para DevOps / Infraestructura / Cloud / Seguridad
Para equipos de Seguridad (SOC/SIEM)
El 75% de incidentes en infraestructura crítica con origen estatal implica un cambio radical en la defensa:
- Los adversarios ya no buscan datos, sino acceso persistente. Un informe de CrowdStrike (2023) encontró que el tiempo promedio de dwell time (días entre intrusión y detección) en infraestructura crítica fue de 204 días, con actores estatales superando los 300 días.
- Las herramientas de defensa tradicionales (SIEM, EDR) son insuficientes. Horne citó que el NCSC está invirtiendo en anomalías de comportamiento en tiempo real, no solo en firmas de malware. Ejemplo: detectar accesos inusuales a controladores SCADA desde IPs geolocalizadas en países hostiles.
Para equipos de Infraestructura y Cloud
Los sistemas críticos (energía, agua, transporte) son blancos prioritarios porque:
- La fragmentación de controles IAM es un vector clave. Un estudio de IBM Security (2024) reveló que el 38% de los breaches en infraestructura crítica se originaron en credenciales comprometidas o configuraciones erróneas en IAM, especialmente en entornos híbridos (on-premise + cloud).
- Los entornos legacy son el talón de Aquiles. El NCSC advirtió que, para 2028, es «muy probable» que actores estatales usen IA para explotar vulnerabilidades conocidas en tecnologías obsoletas (ej: protocolos como SMBv1 o versiones antiguas de PLCs Siemens).
Para equipos de DevOps
La cultura DevOps debe evolucionar:
- El «shift-left» ya no es suficiente. Horne insistió en que las organizaciones deben asumir que ya están comprometidas y enfocarse en detección de comportamiento anómalo, no solo en prevenir intrusiones. Ejemplo: monitorear cambios en configuraciones de Kubernetes que puedan exponer pods internos a internet.
- La IA será un multiplicador de amenazas. El NCSC citó casos donde adversarios usaron LLMs para generar código malicioso personalizado (ej: scripts de PowerShell ofuscados) que evaden firmas de EDR.
Detalles técnicos
Técnicas de preposicionamiento: el caso Volt Typhoon
Microsoft detalló en su informe (mayo 2023) cómo esta campaña:
- Usó técnicas LotL:
adfind.exe para enumerar usuarios y grupos en Active Directory.– certutil.exe para descargar payloads desde servidores legítimos.
– Herramientas de administración remota (RAT) como PlugX (variante modificada para evitar detección).
- Persistencia:
schtasks) para reiniciar servicios comprometidos.– Backdoors en firewalls (ej: FortiGate) mediante exploits como CVE-2022-40684 (CVSS 9.8).
- Movimiento lateral:
– Explotación de vulnerabilidades en VPNs (ej: CVE-2023-46805 en Fortinet, CVSS 9.8).
Vectores en infraestructura crítica
- IAM y Active Directory:
– Ejemplo: CVE-2021-42287 (SAMAccountName spoofing) permite escalar privilegios en AD si no se aplica el parche de noviembre de 2021.
- Protocolo SMB:
- SCADA/ICS:
– CVE-2023-28432 (vulnerabilidad en Schneider Electric EcoStruxure) permite ejecución remota de código en controladores críticos.
Herramientas de detección recomendadas
El NCSC sugiere priorizar:
- Anomalías en IAM:
# Detectar logins desde IPs en listas de sanciones (ej: usando MaxMind GeoIP)
awk -F, '$1 ~ /^192\.168/ && $3 ~ /CN|RU|IR/ {print}' /var/log/auth.log
- Comportamiento en SCADA:
# Configuración en Zeek para monitorear tráfico Modbus anómalo
const modbus_ports = {502/tcp, 502/udp}
event connection_established(c: connection) {
if (c$dp in modbus_ports && c$id$resp_h !in known_scada_controllers) {
NOTICE([$note=Modbus_Anomaly, $msg="Conexión Modbus desde IP no autorizada", $conn=c]);
}
}
- Inspección de tráfico en túneles VPN:
# Buscar conexiones VPN fuera de horarios laborales (usando Zeek)
zeek -r vpn_traffic.pcap 'conn$start_time > 18:00:00 && conn$start_time < 06:00:00'
Qué deberían hacer los administradores y equipos técnicos
Acciones inmediatas (0–30 días)
- Priorizar parches en IAM y Active Directory:
– Deshabilitar SMBv1 en todos los sistemas (usar Set-SmbServerConfiguration -RequireSecuritySignature $true en PowerShell).
– Auditar credenciales compartidas: usar herramientas como BloodHound para identificar cuentas con privilegios excesivos.
- Reforzar controles en SCADA/ICS:
– Deshabilitar Modbus/TCP sin autenticación (usar gateways como Nozomi Networks para traducir protocolos).
– Implementar whitelisting de comandos en PLCs (ej: usando IEC 62443-3-3).
- Mejorar detección en VPNs:
– Implementar MFA en VPNs (ej: Duo Security para Fortinet).
Acciones a mediano plazo (1–6 meses)
- Rediseñar arquitectura IAM:
– Eliminar cuentas de servicio con contraseñas no expiradas (usar Get-ADServiceAccount -Filter * | Where-Object {$_.PasswordNeverExpires -eq $true}).
- Automatizar respuesta a incidentes:
– Crear playbooks para preposicionamiento (ej: si se detecta adfind.exe en un servidor, revocar credenciales y reiniciar servicios).
- Capacitación en técnicas adversarias:
– Red Teaming: contratar servicios como CrowdStrike Red Team para probar resistencia a preposicionamiento.
Acciones a largo plazo (6–12 meses)
- Adoptar IA para detección:
– Usar LLMs para análisis forense (ej: Microsoft Copilot for Security para resumir logs de intrusión).
- Preparar planes de contingencia:
– Simular ataques de denegación de servicio (DoS) en sistemas críticos (usar Kali Linux con herramientas como slowhttptest).
Conclusión
La advertencia de Horne no es alarmismo: es un cambio de paradigma. Las infraestructuras críticas ya no son blancos pasivos, sino campos minados digitales donde adversarios estatales establecen footholds años antes de cualquier conflicto. La respuesta requiere:
- Reconceptualizar la ciberseguridad como un campo de batalla, no un riesgo gestionable.
- Enfocarse en detección de comportamiento, no solo en prevención.
- Invertir en herramientas que combatan IA con IA (ej: modelos de comportamiento para detectar exploits generados por LLMs).
Como dijo Horne: «En este gran contendiente, no hay espectadores. Estamos todos en la cancha». La pregunta no es si estos ataques ocurrirán, sino cuán preparados están tus sistemas para detectarlos y contenerlos.