Ya casi en el año 2022, vamos a analizar las amenazas que se ciernen sobre los entornos industriales y, en nuestro próximo artículo, las nuevas posibilidades de protección que están apareciendo en los últimos tiempos.
Tradicionalmente, la seguridad de las infraestructuras de control industrial (ICS) ha estado en un segundo plano, dada la criticidad de este tipo de infraestructuras, generalmente de producción 24×7 en la que cualquier parada puede significar pérdidas económicas importantes.
En un inicio, las redes industriales no existían tal como hoy las conocemos, dado que las redes de propósito general de años atrás tenían unas capacidades muy limitadas de ancho de banda y latencias abultadas, por no mencionar las topologías en anillo que tampoco permitían una expansión tan simple como en la actualidad con redes en estrella.
Los fabricantes tuvieron que idear por separado sus soluciones, cada una de un tipo, sin apenas interoperabilidad entre plataformas.
Toda esta comunicación se realizaba mediante buses dedicados, basados en tecnología serie en su mayoría, que podía garantizar ciertos tiempos de respuesta y flujos de información adecuados para las necesidades de control industrial.
Estas tecnologías fueron evolucionando para adaptarse a las nuevas redes de datos más capaces basadas en el protocolo de red TCP/IP, la virtualización de autómatas y otras muchas mejoras.
El aumento de ciberamenazas en el sector industrial
Dado que estas tecnologías normalmente las gestionan los ingenieros industriales, estos se han centrado en la funcionalidad del producto y no tanto en la seguridad de este, debido en gran parte al rápido aumento de amenazas y de su complejidad, lo cual requiere a especialistas en el área de ciberseguridad y networking.
Esto deja a este tipo de redes en una posición delicada ante la evolución tan importante de la complejidad de ataques realizadas por los ciberdelincuentes, que, hoy en día, sólo buscan su enriquecimiento personal, de ahí los ransomware y, por supuesto, a otro tipo de intereses corporativos o de gobiernos que podrían llegar a causar fallos catastróficos en las infraestructuras de fabricación o infraestructuras críticas.
Desgraciadamente, esa desconexión entre el mundo industrial con el de la ciberseguridad y telecomunicaciones, sumado a bastante dejadez en muchas ocasiones por la máxima de “si funciona no tocar”, ha propiciado que exista un enorme problema de ciberseguridad en este tipo de infraestructuras, que cada vez está causando más problemas graves, muchas veces incluso en infraestructuras críticas.
Una gran parte de estos problemas provienen de la falta de concienciación de las empresas en este campo en cuanto a las redes industriales, que se ven como algo diferente o separado de las redes IT. La realidad es que ya se desdibujó hace tiempo esta línea de separación entre tecnologías, también motivado en menor medida por los costes, y digo en menor medida, ya que el coste de realizar un diseño seguro e implementar las medidas de seguridad adecuadas muchas veces supondrá un pequeño porcentaje dentro de un proyecto industrial de cientos de miles o millones de euros.
Las vulnerabilidades en el sector industrial, de baja complejidad en el 90% de casos
Según publica el medio digital Xataka, la ciberseguridad industrial es “un chollo” para los delincuentes. El motivo es simple: el 90% de las vulnerabilidades detectadas en el sector industrial son de baja complejidad, es decir, que no requieren de condiciones especiales para provocar una brecha y son fácilmente repetibles.
El informe al que se refiere Xataka también señala que el 71% de esas vulnerabilidades son de riesgo alto o crítico, lo que podría suponer un daño profundo a la empresa, e incluso paralizar parcial o totalmente su actividad por tiempo indefinido, como sucedió hace unos meses con la compañía de oleoductos estadounidense Colonial Pipeline. Además, el 66% de ellas ni siquiera requieren de la participación humana para provocar una brecha de seguridad.
El informe también recoge que el número de ciberataques a sistemas de control industrial se han incrementado un 41% con respecto al 2020, buena parte de ellos por ransomware.
El estudio subraya que cualquier empresa con operaciones industriales digitalizadas es susceptible de ser atacada, y que las más atractivas para los ciberdelincuentes, por el impacto económico y social que puede provocar la suspensión de sus servicios, serían las proveedoras de electricidad, agua, petróleo y gas, las alimentarias y las farmacéuticas.
Ciberseguridad en redes OT
Existe actualmente multitud de malware diseñado para atacar a las redes OT, muchos de ellos de tipo ransomware, por lo que el atacante solicita un pago en criptomonedas para dificultar el rastreo de fondos. El fin es permitir que las máquinas comiencen a funcionar de nuevo, sin garantías de que esto llegue a ser así, provocando pérdidas enormes. Incluso podría llegar a suceder incluso la pérdida de vidas, dada la cantidad de procesos (muchos de ellos peligrosos o críticos) que estas tecnologías controlan. Por tanto, no es inimaginable que pudieran provocarse daños personales incluso de gravedad, si no se han producido ya.
Esto se hace patente en el nuevo concepto de guerra híbrida que lleva años en juego, en la que los ejércitos, sobre todo de las potencias más poderosas, juegan con desinformación, ciberataques a instalaciones críticas o de sectores clave intentando perjudicar a sus adversarios, antes que llegar a una guerra abierta la cual tiene costes mayores y claros inconvenientes dejando esta posibilidad como algo puntual.
Un ejemplo fue el uso del malware Stuxnet, el cual hizo estragos en las plantas de energía iraníes, pero se han ido sucediendo otros muchos ataques a diferentes sectores como el del sector industrial, para producir problemas de suministro entre otros.
Estos ataques son generalmente de tipo dirigido, en los cuales el atacante realiza una estrategia a medida de la víctima, lo cual sin duda aumenta aún más su peligrosidad y posibilidades de éxito, pero también existen otros ataques más genéricos, como el ransomware ryuk, que pueden causar estragos en todo tipo de entornos incluidos los industriales.
Existe un creciente número de ataques a estas infraestructuras de tipo APT, por lo que los dispositivos IT situados en redes OT, son un vector muy importante de entrada de ataques, los cuales no pueden ser perdidos de vista, ya que son muchas veces máquinas antiguas sin soporte de fabricante, lo cual hace aún más complicado el realizar su protección.
Cabe destacar, según la información provista por la publicación especializada Infosecurity Magazine, que se ha producido en el último año un aumento de un 41% de vulnerabilidades descubiertas en sistemas ICS, siendo un 71% de estas de nivel alto o crítico, lo cual pone más énfasis aún en disponer de una gestión efectiva del ciclo de vida de las vulnerabilidades.
Por tanto, las expectativas en 2022 son especialmente malas, debido a los elevados repuntes en ataques a este tipo de infraestructuras, volviendo a ser objetivos del máximo interés para los atacantes tras unos años de relajación.
En nuestro próximo artículo hablaremos de cómo protegernos frente a las ciberamenazas en infraestructuras industriales en 2022. Mientras tanto, si quieres saber más, echa un vistazo a nuestra web.
Autor: Abel Robledo, Cybersecurity Team Leader en Open3s.