La semana pasada, Biden actuó a través de una orden ejecutiva en un esfuerzo por forzar algunos de estos cambios en la industria de los ductos, utilizando los poderes de supervisión de la Administración de Seguridad del Transporte sobre la industria de los ductos.
Sin embargo, en ausencia de mandatos gubernamentales integrales, las prácticas de ciberseguridad han sido voluntarias. El resultado es que muchas empresas y otras organizaciones se han visto obligadas a valerse por sí mismas. Y los últimos ataques de ransomware han expuesto hasta qué punto las ciudades estadounidenses, los gobiernos municipales, los departamentos de policía e incluso uno de los servicios de ferry entre Cape Cod, Martha’s Vineyard y Nantucket no han logrado erigir suficientes defensas.
El último ataque a uno de los mayores proveedores de carne de vacuno del mundo, JBS, por ejemplo, fue llevado a cabo por un grupo ruso conocido como REvil, que tuvo un gran éxito al irrumpir en empresas por medios muy simples. El grupo generalmente obtiene acceso a grandes corporaciones a través de una combinación de phishing por correo electrónico, en el que envía a un empleado un correo electrónico que lo engaña para que ingrese una contraseña o haga clic en un enlace malicioso y explota la lentitud de la empresa para reparar el software.
Los ciberdelincuentes de REvil con frecuencia buscan y explotan servidores informáticos vulnerables o incurren en una falla bien conocida en los dispositivos de seguridad Pulse Secure, llamada VPN, o red privada virtual, que las empresas usan en un esfuerzo por proteger sus datos. La falla fue detectada y solucionada hace dos años, y fue señalada nuevamente por funcionarios estadounidenses el año pasado después de una serie de ataques cibernéticos por parte de piratas informáticos chinos. Pero muchas empresas aún no han logrado solucionarlo.
Aun así, un año después, muchas empresas seguían descuidando la ejecución del parche, esencialmente dejando una ventana abierta en sus sistemas.
En el memorando de la Casa Blanca titulado «Lo que les instamos a hacer ahora», Neuberger instó a las empresas a centrarse en lo básico. Uno de los pasos es la autenticación multifactor, un proceso que obliga a los empleados a ingresar una segunda contraseña única en sus teléfonos o un token de seguridad cuando inician sesión en un dispositivo no reconocido.
Esto les animó a realizar copias de seguridad de datos con regularidad y a separar estos sistemas de copia de seguridad del resto de sus redes para que los ciberdelincuentes no puedan encontrarlos fácilmente. Instó a las empresas a contratar empresas para realizar «pruebas de penetración», esencialmente pruebas en las que se simula un ataque a los sistemas de una empresa, para encontrar vulnerabilidades. Y la Sra. Neuberger les pidió que pensaran en cómo reaccionarían si sus redes fueran secuestradas por ransomware.