Ataques al sector del transporte

10 brechas de seguridad críticas recientes

Blog Ataques al sector del transporte

| 8 min de lectura

Contáctanos

El sector del transporte, columna vertebral del comercio y la conectividad mundiales, se ha convertido en un objetivo cada vez más atractivo para los cibercriminales. Históricamente, sus ataques se han centrado principalmente en el beneficio económico —aunque cada vez son más frecuentes los ataques con motivos políticos— intentando robar datos confidenciales e interrumpir las operaciones a cambio del pago de rescates. El enorme volumen de datos operativos y de usuarios que el sector recibe, procesa, almacena y transmite lo convierte en un objetivo primordial para este tipo de actividades. Estos datos, junto con la creciente dependencia de los sistemas interconectados, crean una oportunidad lucrativa para los atacantes maliciosos.

La creciente digitalización del sector del transporte, al tiempo que ofrece importantes beneficios en eficiencia, automatización y experiencia de usuario, también ha ampliado drásticamente su superficie de ataque. La adopción de tecnologías avanzadas como la inteligencia artificial para el análisis de datos y la planificación del transporte, las tecnologías operativas, el blockchain y el Internet de las cosas (IoT) ha creado una compleja red de sistemas interconectados. Esta interconexión, si bien mejora la eficiencia y la experiencia del usuario, también introduce vulnerabilidades. Además, las organizaciones a menudo dependen de proveedores de servicios y productos externos, lo que complica aún más la gestión de la seguridad y aumenta los posibles puntos de entrada para los atacantes. Esta dependencia de terceros significa que una vulnerabilidad explotada en una organización puede tener un efecto cascada en otras empresas del ecosistema digital.

El informe de 2024 de ENISA sobre el panorama de amenazas pone de relieve la gravedad de la situación, clasificando al sector del transporte como el segundo más atacado de Europa, superando incluso a la banca y las finanzas y situándose solo por detrás de la administración pública. Los ataques de denegación de servicio (DoS) se identifican como uno de los vectores de ataque más comunes de este sector. Esta amplia industria abarca una gran variedad de organizaciones, como aeropuertos, puertos marítimos, líneas ferroviarias, compañías navieras, empresas de transporte por carretera y de servicios postales y logísticos, que facilitan el movimiento de pasajeros y mercancías por tierra, mar y aire. El impacto potencial de un ciberataque exitoso en cualquiera de estas entidades puede ser sustancial, afectando desde los sistemas operativos centrales y la infraestructura física hasta los servicios de cara al cliente y los datos sensibles. El Cost of a Data Breach Report 2024 de IBM subraya el impacto financiero de estos ataques, revelando que el costo promedio de una violación de datos en el sector del transporte asciende a la asombrosa cifra de 4,4 millones de dólares.

Mientras que un blog post anterior se centraba en los riesgos y ataques dentro del sector de la aviación, este post cambiará el enfoque a los ciberataques dirigidos a otros modos de transporte. Aunque algunas de las empresas afectadas también pueden utilizar aeronaves como parte de su oferta de servicios, aquí se hará hincapié en incidentes que afectaron al transporte marítimo, ferroviario y por carretera, así como a los servicios logísticos y postales. Estos ejemplos dan muestra de las amenazas cibernéticas a las que se enfrenta el sector del transporte y subrayan la necesidad de implementar cuanto antes medidas de ciberseguridad sólidas en las compañías.

Forward Air

Diciembre de 2020. La empresa estadounidense de transporte de mercancías y logística Forward Air sufrió un ataque de ransomware atribuido a la banda criminal Hades, presuntamente asociada a miembros del grupo Evil Corp. Este incidente obligó a la compañía a desconectar sus sistemas de la red para evitar una mayor propagación del malware. Como resultado, el negocio se vio afectado significativamente, con interrupciones que incluyeron la no disponibilidad de la documentación necesaria para liberar la carga de las aduanas. También se informó de que la interrupción de las interfaces de datos de los clientes provocó pérdidas superiores a 7 millones de dólares. Además, el ataque expuso datos confidenciales, como nombres, números de la seguridad social, permisos de conducir, números de cuentas bancarias e información de pasaportes, pertenecientes a empleados actuales y anteriores de este gigante del transporte por carretera.

KNP Logistics

Junio de 2023. KNP Logistics, una organización de logística británica de propiedad privada, formada en 2016 mediante la fusión de cuatro empresas, sufrió un devastador ataque de ransomware. Al parecer, se llevó a cabo utilizando el ransomware Akira y comprometió sistemas críticos y datos financieros. Se dice que los atacantes explotaron una contraseña débil mediante un ataque de fuerza bruta, consiguiendo acceder a la red debido a la falta de autenticación multifactor de la compañía. El impacto en KNP Logistics fue catastrófico, provocando el despido de más de 700 empleados y la quiebra de la empresa unos tres meses después de la infección. Sin embargo, un aspecto positivo del desafortunado suceso fue que se logró la venta de una entidad del grupo KNP, lo que permitió salvar unos 170 puestos de trabajo.

Puerto de Nagoya

Julio de 2023. El puerto de Nagoya, el mayor de Japón, se vio obligado a suspender sus operaciones durante más de dos días debido a un ataque de ransomware atribuido al grupo prorruso LockBit 3.0. El ciberataque se dirigió específicamente contra el Nagoya Port Unified Terminal System (NUTS), su sistema central de control de terminales de contenedores. Esta interrupción detuvo la carga y descarga de contenedores, afectando a los envíos de piezas importadas y exportadas para gigantes industriales como Toyota Motor, lo que provocó importantes pérdidas económicas. Este incidente no fue el primer ciberataque al que se enfrentó el puerto de Nagoya. En 2022, el puerto sufrió un ataque DDoS que dejó su sitio web fuera de servicio durante aproximadamente 40 minutos.

Auckland Transport

Septiembre de 2023. La empresa neozelandesa Auckland Transport fue blanco de una serie de ciberataques atribuidos a la banda de ransomware Medusa. El incidente inicial interrumpió los sistemas de venta de tiquetes, las recargas en línea y los centros de atención al cliente. Aunque Auckland Transport mantuvo que no se había puesto en peligro ningún dato personal o financiero, Medusa contradijo esta afirmación en su sitio web, exigiendo un rescate de un millón de dólares y, al mismo tiempo, ofreciendo los datos robados para su compra y descarga por el mismo precio. Días después, aparentemente en respuesta a la negativa a pagar el rescate, Auckland Transport sufrió un ataque DDoS, causando problemas de acceso intermitente a su sitio web, aplicación móvil, planificador de viajes y otros sistemas. A pesar de estos ataques, los ejecutivos de la compañía siguieron afirmando que no había pruebas de que se hubiera robado información sensible.

Estes Express Lines

Septiembre de 2023. Este mes marcó el comienzo de un importante ciberataque contra Estes Express Lines, uno de los principales transportistas norteamericanos de carga parcial. Aunque el ataque comenzó en septiembre, Estes no lo identificó oficialmente hasta el 1 de octubre. El incidente obligó a la empresa a desconectar su correo electrónico, sitio web, teléfonos y otros sistemas críticos durante aproximadamente tres semanas. Para mantener las operaciones, Estes desvió temporalmente la carga a la competencia, lo que pone de manifiesto la alteración que estos ataques pueden causar en las cadenas de suministro. Meses más tarde, tras la correspondiente investigación, Estes confirmó que se trataba de un ransomware y notificó a más de 21.000 personas que su información personal, incluidos nombres y números de la seguridad social, se había visto comprometida. La compañía subrayó que no pagó el rescate, pero no reveló detalles sobre los actores de la amenaza ni sobre el proceso de restauración. Sin embargo, en noviembre de ese año, la banda de ransomware LockBit se atribuyó la autoría del ataque.

DP World Australia

Noviembre de 2023. DP World Australia, el mayor operador portuario del país, se vio obligado a suspender sus operaciones durante tres días en respuesta a un ciberataque. Esta medida de precaución provocó retrasos en el envío de más de 30.000 contenedores desde cuatro de los principales puertos de Australia, causando importantes interrupciones en la cadena de suministro. Aunque, al parecer, el ataque puso en peligro la información personal de empleados pasados y presentes, los datos de los clientes no se vieron afectados. Analistas de seguridad sugirieron que DP World Australia podría haber sido vulnerable al exploit de Citrix Bleed en el momento del ataque, una vulnerabilidad vinculada a múltiples violaciones de datos de gran repercusión en todo el mundo. Este incidente sirvió como recordatorio de la importancia crítica de la aplicación oportuna de parches y la gestión de vulnerabilidades para las organizaciones, especialmente las que operan infraestructuras críticas.

Empieza ya con la solución Gestión de vulnerabilidades de Fluid Attacks

Ward Transport & Logistics

Marzo de 2024. La empresa estadounidense de transporte y logística Ward Transport & Logistics, especializada en servicios de carga parcial, fue víctima de un ataque de ransomware. El ciberataque, supuestamente perpetrado por la banda de ransomware DragonForce, interrumpió las operaciones y puso en peligro datos confidenciales. DragonForce afirmó haber robado casi 600 GB de datos de Ward, incluida información personal perteneciente a un número indeterminado de personas. En un movimiento que se desviaba de los consejos típicos de ciberseguridad, la organización optó al parecer por pagar el rescate a los delincuentes. Esta decisión, junto con el impacto del ataque de ransomware, acabó provocando importantes pérdidas financieras y daños a la reputación de la compañía.

Puerto de Seattle

Agosto de 2024. Un ataque de ransomware atribuido a la banda criminal Rhysida tuvo como objetivo el Puerto de Seattle. Los sistemas se desconectaron rápidamente de la red para contener la intrusión. El principal afectado fue el organismo que supervisa el puerto marítimo de Seattle y el Aeropuerto Internacional de Seattle-Tacoma. Se cifraron los datos y se interrumpieron varios sistemas, como la clasificación y recuperación de equipajes, las pantallas de información sobre vuelos y equipajes, los sistemas de facturación y emisión de tiquetes, el sitio web del puerto e incluso la conexión Wi-Fi. La organización optó por no pagar el rescate, aparentemente basándose en un análisis de costo-beneficio, y soportó un par de semanas con funcionalidad limitada de algunos sistemas (algunos se restablecieron más rápido que otros), lo que obligó a recurrir a soluciones manuales para realizar ciertos procedimientos (por ejemplo, hubo que clasificar manualmente más de 7.000 maletas de vuelos interrumpidos). Al parecer, no se ha revelado la naturaleza de los datos potencialmente comprometidos.

JAS Worldwide

Agosto de 2024. Este mes, la empresa privada de transporte internacional de mercancías JAS Worldwide fue víctima de un ataque de ransomware. El incidente afectó a sistemas cruciales, como aquellos para la atención al cliente, la facturación y el procesamiento de pagos, y la integración de datos de las partes interesadas. Aunque JAS Worldwide reconoció públicamente el ataque, ningún grupo de ransomware reclamó la autoría del incidente. El sistema operativo central de la empresa y el portal de atención al cliente estuvieron fuera de servicio durante varios días, lo que impidió a los clientes realizar el seguimiento de sus envíos en tiempo real.

Transport for London

Septiembre de 2024. Transport for London (TfL) tuvo que hacer frente a un importante ciberataque que expuso la información financiera y personal de miles de clientes, incluidos, potencialmente, los datos de las cuentas bancarias de unos 5.000 pasajeros. El incidente incluso obligó a los más o menos 30.000 empleados de TfL a acudir a oficinas para el restablecimiento de sus contraseñas en persona. Aunque los servicios básicos, como las redes ferroviarias y de autobuses, permanecieron operativos, otras funciones se vieron afectadas. TfL suspendió de forma proactiva operaciones como las cámaras de atascos, las reservas externas y el servicio dial-a-ride para pasajeros discapacitados con el fin de limitar el acceso de los atacantes durante su persistente ataque. Además, la información en tiempo real sobre la llegada de los trenes, el historial de viajes en línea y algunos procesos de pago se vieron interrumpidos, y varios proyectos en curso de TfL sufrieron retrasos. En respuesta al ataque, las autoridades londinenses detuvieron a un sospechoso de 17 años, presuntamente implicado en la operación de hacking.

Mantenerse a la vanguardia de las ciberamenazas requiere algo más que reaccionar a los últimos titulares. Una gestión de vulnerabilidades realmente eficaz implica aprender de las desgracias de los demás, comprender el panorama de amenazas en constante cambio y adaptar de forma proactiva las defensas de tu compañía a los riesgos reales a los que se enfrenta. No esperen a convertirte en otra estadística. Dejen que Fluid Attacks les ayude a crear una estrategia integral de gestión de vulnerabilidades adaptada a los riesgos específicos de su empresa. Pónganse en contacto con nosotros hoy mismo para una consulta y tomar el control de su postura de ciberseguridad.

Suscríbete a nuestro blog

Recibe el boletín semanal de Fluid Attacks.

Blog posts recomendados

Quizá te interesen los siguientes posts similares.

Foto por Frankie Mish en Unsplash

Hacia una mejor priorización de vulnerabilidades

Foto por Jr Korpa en Unsplash

Cómo mejoramos nuestras pruebas al estandarizarlas

Foto por Logan Weaver en Unsplash

Introducción a la ciberseguridad del sector de la aviación

Foto por Maxim Hopman en Unsplash

¿Por qué calcular riesgos de ciberseguridad con nuestra métrica CVSSF?

Foto por Jukan Tateisi en Unsplash

Nuestra nueva arquitectura de pruebas para el desarrollo de software

Foto por Clay Banks en Unsplash

Protegiendo tus TPV de las ciberamenazas

Foto por Charles Etoroma en Unsplash

Los siete ciberataques más exitosos contra esta industria

Inicia tu prueba gratuita de 21 días

Descubre las ventajas de nuestra solución Hacking Continuo, de la cual ya disfrutan cientos de organizaciones.

Inicia tu prueba gratuita de 21 días
Fluid Logo Footer

Hackeando software durante más de 20 años

Fluid Attacks analiza aplicaciones y otros sistemas, abarcando todas las fases de desarrollo de software. Nuestro equipo ayuda a los clientes a identificar y gestionar rápidamente las vulnerabilidades para reducir el riesgo de ciberincidentes y desplegar tecnología segura.

Copyright © 0 Fluid Attacks. We hack your software. Todos los derechos reservados.