Esta es la razón por la que el ciberataque a JLR está tardando una eternidad en solucionarse, según un experto

[TheShadow]

Los fabricantes de automóviles son especialmente vulnerables a ciberataques como el que ha saboteado el negocio de Jaguar Land Rover durante el último mes.
Jaguar Land Rover (JLR) lleva casi un mes lidiando con las consecuencias de un ciberataque. Se trata de un grave problema que ha paralizado la producción y perjudicado el negocio no solo del fabricante de automóviles, sino también de sus numerosos proveedores y distribuidores. Quizás no se piense que una empresa tan madura como JLR pueda verse paralizada durante tanto tiempo por un problema informático, pero la naturaleza profundamente interconectada del sector automovilístico hace que los fabricantes de automóviles sean especialmente susceptibles a este tipo de problemas.

Como informó The Guardian a principios de este mes, «Los gerentes de una fábrica en Halewood, Merseyside, informaron a sus contactos de la industria que podría haberse producido un ataque informático, aunque entonces no estaba claro la gravedad de la situación». Poco después, parece que la empresa se dio cuenta de que el incidente era lo suficientemente grave como para paralizar todas sus operaciones.A principios de septiembre, comenzaron a circular informes sobre un ciberataque a JLR. Los conocidos (y temidos) grupos de hackers Scattered Spider y LAPSUS$ , que operan como una entidad combinada identificada como Scattered Spider Lapsus$ Hunters, se atribuyeron la responsabilidad, compartiendo capturas de pantalla de la interfaz en segundo plano del fabricante de automóviles para demostrar el acceso.

Cyfirma ofrece el análisis más completo que he encontrado sobre lo que pudo haber sucedido, desde la perspectiva de una vulnerabilidad técnica. «El código expuesto revela lógica de autenticación, que podría incluir posibles vulnerabilidades en la vinculación de los perfiles de usuario a los vehículos», informó el sitio web. «Esta información podría utilizarse para aplicar ingeniería inversa o explotar los servicios conectados, especialmente si existen vulnerabilidades en la gestión de tokens o en los mecanismos de validación».No está claro, y es poco probable que JLR lo informe públicamente, qué parte de la interrupción fue resultado directo del ataque y qué parte fue un apagado preventivo para intentar contener el acceso no autorizado al sistema. También ha habido cierta confusión sobre la motivación del hackeo, debido a que muchos falsos responsables se atribuyeron falsamente la responsabilidad. No hemos visto publicado ningún precio de rescate específico, ni JLR ha compartido nada al respecto.Pero se dice que las fábricas de Land Rover (Jaguar no está fabricando ningún coche en este momento) que permanecen inactivas le han costado a la empresa hasta 50 millones de libras (67 millones de dólares) por semana, según la BBC . La semana pasada, el Departamento de Negocios y Comercio del gobierno británico emitió un comunicado reconociendo que el "reciente incidente cibernético está teniendo un impacto significativo en Jaguar Land Rover (JLR) y en la cadena de suministro automotriz en general". Se ha hablado de que el gobierno subvencione la situación comprando piezas de suministro mientras tanto. Parece que las fábricas no volverán a funcionar durante al menos unos días más, pero la empresa afirma que ahora está en camino a la recuperación.

Un portavoz de JLR respondió a mis preguntas con esta declaración oficial:

Como parte del reinicio controlado y gradual de nuestras operaciones, hoy hemos informado a nuestros colegas, proveedores y socios minoristas que algunas secciones de nuestro parque digital ya están operativas. El trabajo fundamental de nuestro programa de recuperación está en marcha.

Hemos aumentado significativamente la capacidad de procesamiento de TI para la facturación. Ahora estamos trabajando para liquidar los pagos atrasados a nuestros proveedores lo antes posible.
Nuestro Centro Global de Logística de Repuestos, que abastece a los centros de distribución de repuestos de nuestros socios minoristas en el Reino Unido y en todo el mundo, ha vuelto a operar a pleno rendimiento. Esto permitirá a nuestros socios minoristas seguir prestando servicio a los vehículos de nuestros clientes y mantenerlos móviles.
El sistema financiero que utilizamos para procesar las ventas al por mayor de vehículos se ha restablecido en línea y podemos vender y registrar vehículos para nuestros clientes más rápidamente, lo que genera un flujo de caja importante.
Estos son pasos iniciales importantes, ya que nuestros equipos especializados trabajan incansablemente junto con especialistas en ciberseguridad, el NCSC del Gobierno del Reino Unido y las fuerzas del orden para garantizar que reiniciemos la actividad de forma segura. Nuestro enfoque sigue siendo apoyar a nuestros clientes, proveedores, colegas y minoristas. Reconocemos plenamente que este es un momento difícil para todos los que trabajamos con JLR y agradecemos a todos su continuo apoyo y paciencia.Ahora, están circulando algunas historias secundarias, como que JLR podría no estar asegurado por lo que acaba de suceder, que la ciberseguridad subcontratada podría haber creado vulnerabilidades y que la mala gestión técnica de los altos ejecutivos puede haber hecho posible que los piratas informáticos se abrieran camino a través de las plataformas de la empresa fácilmente.Bueno, no "fácilmente", per se. Toda la investigación que hice, y el experto en ciberseguridad con el que hablé (que habló bajo condición de anonimato), indicaron que este hackeo no fue obra de algún solitario que estuviera haciendo tonterías. El consenso es que el ataque fue llevado a cabo por una red profesional de actores astutos, posiblemente aprovechándose de cuentas de alto acceso. JLR, al parecer, era particularmente vulnerable debido a cómo está (o estaba) organizada su gestión tecnológica. Como Forbes publicó esta semana, "Tata permitió que tres directores supervisaran ambos lados de las transacciones con partes relacionadas. Natarajan Chandrasekaran (Chandra) preside los consejos de administración del holding de Tata y de todas las filiales. Quizás peor aún, dos de los otros cinco directores no ejecutivos de Jaguar Land Rover, el ejecutivo tecnológico Al-Noor Ramji y la experta en cadena de suministro Hanne Sorenson, también forman parte del consejo de administración de TCS (Tata Consultancy Services) ".

Entonces, ¿cómo diablos se puede llegar a producir un hackeo como este?

Bueno, mi nuevo contacto en ciberseguridad me dijo que, en esta etapa, tomara cualquier noticia sobre un ataque con cautela. Pero también me dijo que es casi seguro que hay algunos factores que influyen en un incidente como este.

En cuanto al acceso, una vía de entrada común para un actor malicioso en un sistema es la ingeniería social. Alguien, presa del pánico, llama al departamento de TI, haciéndose pasar por alguien importante que necesita eludir procedimientos como el inicio de sesión de dos factores, y logra entrar de esa manera. No es exactamente lo que ocurrió aquí, pero parece plausible, dados los informes sobre la gestión tecnológica de la empresa.

Además, está la naturaleza altamente interconectada y globalizada del sector automovilístico. Como me comentó el experto: «Una empresa [del tamaño de JLR] se compone, por lo general, de cientos o miles de sistemas que nunca se concibieron para funcionar juntos, y que se integran mediante herramientas de seguridad esenciales».

¿Sabes cómo puedes crear cuentas en todo tipo de sitios web con tus credenciales de Google, Facebook o Apple? Lo mismo ocurre con una gran empresa, y una gran empresa que colabora con otras grandes empresas tendrá una red aún más compleja con muchos más puntos de entrada. Los proveedores y destinatarios de productos de JLR tendrán formas de acceder a los sistemas propietarios de la empresa, lo que creará muchos vectores de intrusión.Como lo explicó mi contacto: «En cualquier gran empresa, muchos de esos sistemas pueden ser adquiridos, antiguos, de desarrollo propio o una combinación de todo eso. Y muchas veces, los sistemas antiguos no incorporan las comodidades de seguridad modernas. Así que existe todo un mundo donde, para trabajar, se necesita la identidad. Los sistemas deben comprenderla para que se pueda iniciar sesión y realizar el trabajo... por lo que [los hackers] tienden a atacar a personas con lo que llamamos "acceso administrativo", "acceso privilegiado". Por ejemplo, uno podría iniciar sesión en un sistema que le muestre su sueldo. [Pero alguien] con acceso administrativo podría iniciar sesión en el mismo sistema y determinar quién recibe el pago y cuánto. Por eso, [operaciones como] Scattered Spider suelen buscar personas que saben que tienen acceso privilegiado. Pueden hacer cosas importantes. Por lo tanto, suelen buscar a quienes gestionan las herramientas de seguridad de gestión de identidades y accesos, las nubes u otros sistemas importantes».

Otro aspecto que mencionó esta persona es la enorme diferencia de velocidad entre la rapidez con la que un hacker puede manipular las herramientas y la rapidez con la que una megacorporación multinacional puede realizar cambios. Una vez que se le concede acceso, un hacker puede propagarse rápidamente por el sistema, creando nuevos inicios de sesión y accesos. Mientras tanto, una empresa como JLR, como mínimo, tendrá que consultar con múltiples partes interesadas antes de tomar una decisión tan drástica como desconectar fábricas. Y muchas empresas, incluso en esta era digital, simplemente no están preparadas para lidiar con esto.No es que una empresa automovilística pueda realizar simulacros que detengan sus líneas de montaje con regularidad; costaría una fortuna. Pero eso también genera un nivel de falta de preparación que, cuando algo sucede, crea el caos que estamos viendo aquí.

Mi contacto describió esto como “la próxima frontera hacia la que nos están empujando los adversarios”, lo que significa que las grandes corporaciones tendrán que hacer inversiones prácticas serias en ciberseguridad y preparación ante desastres para mantenerse al día con los malos actores en este espacio, o correr el riesgo de que ocurran más eventos como este.

Para cuando JLR se dio cuenta de que su sistema informático tenía un invitado inesperado, habría sido extremadamente difícil o imposible comprender con total certeza el alcance de su penetración. Por eso, la empresa llegó al extremo de cerrar sus fábricas y operaciones, y por eso está tardando tanto en solucionar el problema. Gran parte de la infraestructura digital de la empresa podría tener que reconstruirse, y sus protocolos de ciberseguridad sin duda necesitarán una modernización.

[TheShadow]

Ya todos los directivos WOKE, se han cargado la compañia, solo estaban pendientes de sus movidas ideologicas y por su puesto cobrar sus bonus...