Contrario a lo que se cree, los entornos industriales no son inmunes a los ciberataques que los acechan constantemente. Como se ha abordado con anterioridad en este espacio, los delincuentes informáticos ya no se enfocan solamente en los sectores típicos como financiero, sanitario, energético o de infraestructura crítica, también lo hacen en los ambientes OT donde están identificando sus vulnerabilidades y las están explotando.
Esto habla de la urgencia de reforzar la seguridad de las operaciones industriales, diseñar estrategias más robustas, blindar su conexión vía Internet con sistemas externos, realizar inversiones significativas en ciberseguridad y adoptar un enfoque más holístico en un momento en que las fronteras de una organización se difuminan. Las entidades industriales deben estar conscientes de no son más entes aislados.
La integración de sensores, dispositivos de Internet de las cosas (IoT), una creciente interconectividad, y la digitalización de los sistemas OT los han vuelto más dinámicos; no obstante, también han expandido la superficie de ataque y multiplicado las vulnerabilidades en equipos industriales que no fueron diseñados considerando a la ciberseguridad como un componente vital.
Error de percepción: la importancia de la concientización
Es importante entender la visión de los ingenieros de las plantas o de los desarrolladores de soluciones industriales y destacar los errores que cometen. Cuando conectan dispositivos ICT o IoT, tienen la percepción de que nadie los va a encontrar en el inmenso universo conectado de Internet, y que los malos no tendrían por qué interesados siquiera en explotarlos. Esto es una idea errónea y es un principio falso de seguridad por oscuridad.
Me explico, ignorar el problema no significa que no está sucediendo. Deben abrir los ojos a una realidad ineludible: todos los equipos y dispositivos conectados pueden ser detectados.
Basta hacer un ejercicio para localizar un puerto determinado, como el 4480018, ampliamente utilizado en los entornos industriales, con un barrido de las IPs de Internet para descubrir que puede encontrarse 200 veces en un lapso de 24 horas. Traducido esto al idioma de la ciberseguridad, quiere decir que al menos 200 PLCs con este puerto habilitado pueden ser víctimas potenciales de una incursión maliciosa.
Un ciberatacante, una vez que encuentra una vulnerabilidad de día cero, por ejemplo, puede dar saltos laterales y encontrar otros dispositivos asociados a una misma dirección IP y desatar una hecatombe. De ahí la importancia de implementar estrategias de ciberseguridad integrales y efectivas para los entornos de esta naturaleza.
Por tanto, es fundamental asegurar la conexión de los activos de OT, hacer una segmentación y segregación correctas de las redes industriales a fin de minimizar la superficie de ataque, y comprobar la robustez de las IPs públicas que pudieran estar expuestas.
Ferrocarriles bajo ataque
Por más que cerremos los ojos, la realidad se hace visible: ninguna industria está exenta de sufrir un ciberataque. Pensemos en un servicio que debería funcionar de manera continua y segura, pues involucra el movimiento de millones de personas todos los días: el ferroviario.
¿Sabías que han sido afectados los sistemas ferroviarios de varios países por ataques cibernéticos en los últimos años? Echemos un vistazo a algunos de los más relevantes.
- Enero de 2021. El operador ferroviario OmniTRAX sufre un ataque de ransomware, dirigido a la empresa matriz, afectando a las operaciones ferroviarias.
- Abril de 2021. Los atacantes obtienen acceso a la red MTA de la ciudad de Nueva York.
- Abril de 2021. Un ransomware infecta la red ferroviaria británica Merseryrail.
- Julio de 2021. El malware Meteor Wiper invadió los sistemas de un operador ferroviario iraní que afectó las operaciones de sus trenes.
- Enero de 2022. Un hacktivista bielorruso desconectó los servicios de venta de boletos en línea del proveedor ferroviario del gobierno bielorruso y se filtró información interna.
- Junio de 2022. Un atacante viola la red corporativa de Wabtec, empresa de tecnología ferroviaria, para extraer datos confidenciales, incluida la información de identificación pública (PII).
- Noviembre de 2022. Un subcontratista del proveedor de servicios ferroviarios danés DSB interrumpe el servicio de trenes debido a un ciberataque.
- Marzo de 2023. La divulgación de los Vulkan Files reveló la existencia de un marco avanzado para manipular la velocidad de los trenes, crear transferencias de vías no autorizadas, provocar el malfuncionamiento de las barreras de tráfico de automóviles y hacer que fallen las unidades combinadas de calor y electricidad (CHP), con el objetivo explícito de causar colisiones y accidentes de trenes.
Además de preocupantes, estos eventos deberían poner bajo el reflector a uno de los proyectos gubernamentales en este sector: el Tren Maya. Entre los cuestionamientos que valdría la pena considerar destaca: ¿están seguros los sistemas desde los que coordinan y operan un sistema ferroviario?, ¿se está invirtiendo en tecnología de protección que pudiera detectar, responder y detener una ciberamenaza?, ¿están preparadas las autoridades encargadas para reducir los riesgos que eventualmente pudieran poner en riesgo a los pasajeros?
Sin duda, hay muchas preguntas y pocas respuestas por ahora. Lo cierto es que una infraestructura de esta magnitud, y del tamaño de inversiones que ha recibido, no puede estar desprotegida. ¿Usted qué opina? Comente, denos “me gusta” y comparta.
