Irán y otras naciones han librado una guerra cibernética sigilosa contra Estados Unidos durante al menos la última década. dirigidos en gran medida no al gobierno en sí, sino, bastante, empresas de infraestructura crítica. Esta amenaza para el sector privado empeorará mucho antes de mejorar y las empresas deben estar preparadas para enfrentarla.

Como en tiempos de piratas y corsarios, gran parte de la infraestructura crítica de nuestra nación está controlada por empresas privadas y naciones enemigas y sus representantes los están apuntando agresivamente.

El ciberconflicto entre Estados Unidos e Irán se ha mantenido a fuego lento durante años, pero la crisis actual estalló con los ataques iraníes a los intereses estadounidenses en Irak que llevaron al ataque con un avión no tripulado estadounidense del 3 de enero que mató a un alto general iraní y líder terrorista. El líder supremo de Irán amenazó con "una dura venganza, "pero dijo que Irán limitaría esos esfuerzos a objetivos militares".

Pero incluso antes de que los misiles iraníes golpearan las bases militares estadounidenses en Irak el 7 de enero, Los piratas informáticos pro iraníes atacaron al menos un sitio web relacionado con el gobierno de EE. UU. junto con varios sitios de empresas privadas. De mayor preocupación, un nuevo informe detalla los importantes esfuerzos recientes de Irán para comprometer la electricidad de EE. UU., Servicios públicos de petróleo y gas.

Irán que, según los informes, ha atacado la producción de energía de Arabia Saudita, también es capaz, según funcionarios estadounidenses, de realizar "ataques contra miles de redes eléctricas, plantas acuáticas, y empresas de tecnología y salud "en los EE. UU. y Europa Occidental. La interrupción de esos sistemas podría causar daños importantes a hogares y empresas y, En el peor de los casos, lesiones y muerte.

Gran parte de nuestra infraestructura crítica específica está bajo el control de empresas privadas. Sin la protección del gobierno, y en ausencia de reglas acordadas de guerra cibernética, las empresas corren un alto riesgo, y las estrictas leyes penales estadounidenses prohíben muchas formas de autodefensa cibernética por parte de empresas privadas. Pero hay medidas sencillas que las empresas pueden tomar tanto para protegerse como para mejorar nuestra ciberseguridad nacional colectiva.

¿Qué hará Irán?

Aunque es imposible predecir con certeza el comportamiento del régimen iraní y sus muchos representantes, sus ciberataques probablemente seguirán yendo mucho más allá de los sistemas gubernamentales, que están razonablemente bien defendidos. Irán y sus partidarios probablemente se centrarán en objetivos más fáciles operados por empresas privadas.

Una alerta reciente del Departamento de Seguridad Nacional de EE. UU. Destaca la capacidad y voluntad de Irán de participar en múltiples tipos de ciberataques destructivos durante la última década. Según las acusaciones presentadas por el Departamento de Justicia de EE. UU., como se cita en la alerta del DHS:

• Desde 2011, Irán ha llevado a cabo numerosos ataques de denegación de servicio distribuido (DDoS), enviar cantidades masivas de tráfico de Internet para hacer que los sitios web estén fuera de línea. Los ataques DDoS de Irán se han dirigido a, entre otros, instituciones financieras, para quienes el tiempo de inactividad resultante supuestamente costó millones de dólares.
• En 2013, uno o más iraníes que trabajan para la Guardia Revolucionaria del país accedieron ilegalmente al sistema de control de una presa de Nueva York, aunque aparentemente no se produjo ningún daño directo.
• En 2014, Irán llevó a cabo un ataque contra Sands Las Vegas Corporation, robar la tarjeta de crédito del cliente, Seguridad social y números de licencia de conducir y borrar todos los datos de los sistemas informáticos de Sands.
• Entre 2013 y 2017, Los piratas informáticos que trabajaban en nombre de la Guardia Revolucionaria de Irán llevaron a cabo una operación de robo cibernético "masivo" contra los datos académicos y de propiedad intelectual. junto con la información de correo electrónico, de cientos de universidades, más de 45 empresas, al menos dos agencias federales, al menos dos gobiernos estatales y las Naciones Unidas.

Es posible que se puedan planificar y programar nuevos esfuerzos en este sentido para afectar las próximas elecciones estadounidenses. Además, otros países podrían lanzar ataques e intentar culparlos a Irán, o viceversa.

No hay reglas claras de interacción cibernética

Para la guerra convencional e incluso nuclear, las naciones tienen, a través de los siglos, acordó las reglas del conflicto armado. Han desarrollado formas de señalar sus intenciones de intensificar o reducir un conflicto. Estados Unidos e Irán tienen, por ahora, redujo su conflicto militar público, gracias a que Irán advirtió de su ataque con misiles y no mató ni hirió a nadie y que Estados Unidos no tomó ninguna otra acción militar.

Pero el ciberespacio sigue siendo el salvaje oeste con pocos, Si alguna, reglas de compromiso acordadas o mecanismos de señalización bien entendidos. Esto hace que cualquier ciberconflicto en curso entre Irán y sus enemigos sea aún más peligroso. con empresas de infraestructura crítica en riesgo de quedar atrapadas en el fuego cruzado.

Sin ayuda del gobierno, esas empresas están en gran parte por su cuenta para defenderse de los ataques de gobiernos iraníes o extranjeros. Las leyes penales estrictas restringen severamente las opciones defensivas de las empresas, prohibir por ejemplo, tecnologías para rastrear y destruir datos robados.

Ciberdefensa colectiva

Todo eso dicho hay medidas que las empresas pueden tomar para protegerse, no solo de ataques gubernamentales iraníes o de otro tipo, sino contra la piratería por parte de ladrones de datos, bandas de ransomware, rivales corporativos, empleados descontentos o cualquier otra persona.

La vigilancia y la comunicación son claves. Compañías, particularmente en sectores de infraestructura crítica como la energía, financiero, telecomunicaciones y asistencia sanitaria, debe mantenerse en contacto más estrecho de lo habitual con los organismos gubernamentales apropiados, incluido el Departamento de Seguridad Nacional, el FBI y los centros apropiados de análisis e intercambio de información cibernética. Los ISAC pueden ayudar a las empresas a obtener rápidamente información sobre amenazas del gobierno e informar sobre ataques que pueden tener implicaciones más allá de una sola empresa.

Las empresas también deben verificar cuidadosamente sus sistemas en busca de malware previamente insertado maliciosamente para permitir futuros ataques. Ellos deberían, por supuesto, escanear sus sistemas de forma continua en busca de virus y otros códigos maliciosos que podrían permitir a los piratas informáticos tener acceso no autorizado a los sistemas o datos. Las empresas también deben realizar copias de seguridad de sus datos de forma segura, monitorear de cerca el tráfico de datos en sus redes, exigir a los trabajadores que utilicen la autenticación multifactor al iniciar sesión en los recursos de TI, y proporcionar formación y concienciación sobre ciberseguridad a los empleados.

La protección de nuestra seguridad nacional y económica de los ataques está en manos de ciudadanos privados y empresas de una manera que tal vez no ha sido verdad desde que los propietarios de barcos británicos rescataron al ejército de su nación de la aniquilación en Dunkerque en 1940. Al tomar medidas razonables de ciberseguridad, compañías, y todos nosotros individualmente, no solo puede ayudar a protegernos a nosotros mismos y a nuestra nación, sino que quizás, incluso ayuda a prevenir una guerra.

Este artículo se ha vuelto a publicar de The Conversation con una licencia de Creative Commons. Lea el artículo original.