Los ciberatacantes han ampliado sus objetivos, dirigiéndose cada vez más a las redes de tecnología operativa (OT). Desde plantas generadoras de energía, instalaciones nucleares, refinerías, hasta entornos de manufactura y tratamiento de agua, la infraestructura crítica está bajo ataques constantes.
A diferencia de los entornos de tecnología de la información (TI), los de tecnología operativa OT han quedado rezagadas en términos de seguridad debido a su reciente conexión a Internet y su interacción con sistemas externos. Los sistemas de seguridad en torno a OT aún presentan niveles de seguridad bajos y hay software que necesita actualizarse y parcharse, haciéndolos altamente vulnerables a los ciberataques.
Gartner identifica tres motivaciones principales detrás de los ataques a OT: causar daño real, ocasionar vandalismo comercial y afectar la reputación corporativa. Se estima que el impacto financiero de estos ataques podría alcanzar los $50,000 millones de dólares para fines del 2023.
Medios utilizados por los agentes de amenazas
¿Cuáles son las rutas que los ciberdelincuentes están siguiendo para llegar al corazón de las redes industriales? Aquí exploraremos cinco de los métodos más comúnmente utilizados, así como algunas recomendaciones de cómo inhibir su incursión y minimizar el impacto.
1. Desde la red back-office de TI o la red empresarial.
Muchas intrusiones exitosas en las redes OT inician cuando los atacantes han penetrado a la red de TI, obteniendo gestión, visibilidad y control de ella. Ante esta incidencia, lo recomendable es blindar la red industrial con una “cúpula de hierro”, similar a la utilizada por Israel para detener los misiles que detecta, analiza e intercepta amenazas.
Esto permite vigilar el tráfico entre OT y TI, filtrándolo para identificar cualquier riesgo y facilitar la comunicación necesaria para operar. Una vez controlado este aspecto y estableciendo la separación entre uno y otro, puede comenzar a implementarse estrategias de Zero Trust en los medios industriales.
2. Acceso mediante activos de información transitorios.
Se trata de dispositivos físicos que se conectan a los entornos OT. Es sabido que fabricantes, proveedores y usuarios de las redes industriales introducen equipos de cómputo, memorias USB o incluso módems para conectarse a Internet y realizar así actividades como modificar, actualizar o desarrollar componentes para mejorar. Por ejemplo, un controlador lógico programable (PLC), una interfaz hombre-máquina (MHI), o afinar la recopilación de datos en un sistema SCADA.
La conexión de estos activos de información transitorios es lo que está infectando a las redes industriales, debido a que muchos de ellos se han contaminado en el mundo de TI con malware.
La implementación de fronteras seguras es una medida que sugieren especialistas en ciberseguridad, en las que, antes de introducir cualquier equipo o dispositivos a un entorno industrial, es necesario auditarlo y “limpiarlo”.
Este proceso se realiza mediante kioscos de sanitización de equipos, los cuales integran soluciones y servicios que se encargan de hacer la auditoría y eliminar cualquier amenaza contenida en los activos de información transitorios. Debe ser, por tanto, obligatorio que estos pasen por esta frontera segura antes de cruzar los límites de una infraestructura crítica.
3. A través de sistemas de control expuestos a Internet.
Esta tercera ruta se abre cuando los técnicos dejan conectado equipo a Internet de forma accidental o intencional. Un ejemplo de estos es un PLC maestro que necesita transmitir los datos generados por los sensores a la nube.
Es importante considerar que cualquier activo conectado a Internet se convierte potencialmente en un blanco de los agentes de amenazas en el que hacen un sondeo con el fin detectar las vulnerabilidades existentes. Cuando detecta, por ejemplo, un sistema operativo legado o relacionado con una línea de producción clave, buscarán a toda costa afectarlo.
Se aconseja, por tanto, limitar en lo posible la exposición a Internet de los sistemas de control mediante la implementación de firewalls o protección tipo domo de hierro entre TI y OT, como el que se mencionó anteriormente, así como monitorear el comportamiento y las comunicaciones de la red OT para prevenir riesgos.
4. Mediante acceso remotos privilegiados. Es común que los entornos industriales estén distribuidos por distintas regiones, y en los que hay equipo de distintos fabricantes. Eventualmente, estos fabricantes y los operadores tendrán que acceder a los equipos remotamente para realizar tareas de mantenimiento, resolver problemas, introducir nuevas funcionalidades y realizar actualizaciones, y lo harán accediendo con privilegios especiales.
Estas acciones, y muchas otras más, desafortunadamente carecen de las medidas de ciberseguridad adecuada para el acceso remoto, algo que los ciberatacantes aprovecharán para penetrar a las redes industriales.
La estrategia para seguir es observar continuamente el comportamiento detrás de los accesos remotos privilegiados, y tener un mayor control de quién entra y sale de un entorno industrial. Si se analiza, esta sería la antesala de Zero Trust en las redes operativas, donde es crítico segmentar y blindar los activos de información para que no queden expuestos para de ahí avanzar hacia no confiar en ninguna conexión al exterior, salvo los necesarios que deben ser previamente autorizados.
5. Usuarios internos malintencionados. Las personas siguen siendo el eslabón más débil en la cadena de protección. Los CISOs deben prestar especial atención a los colaboradores que puedan representar una amenaza real. Las razones para que estos abran las puertas a los peligros van desde el descontento, la inconformidad, hasta la colusión con agentes de amenazas que los recopensan para vulnerar la arquitectura de seguridad.
Es, sin duda, un enorme reto, pues las consecuencias pueden ser desastrosas para una empresa, y es muy difícil identificar las causas de raíz y modificar la sicología de los colaboradores.
¿Cómo reforzar este eslabón? Mediante la concientización, la capacitación y la comunicación, además de integrar a la estrategia de ciberseguridad un proceso exhaustivo de verificación de las personas que tienen acceso a los sistemas críticos. De igual forma, es vital poner atención a cómo se manejan las cuentas privilegiadas en las redes industriales para monitorear, autorizar y validar a los individuos a cargo, así como los cambios y actualizaciones que llevarán a cabo.
Con esto también será posible identificar movimientos no autorizados o que se realizan fuera de los horarios de operación.
Dos mundos diferentes
Como ya se abordó, los vectores de ataque en los entornos industriales pueden ser relativamente similares a los de TI, sin embargo, cómo se aborda la protección es diametralmente distinto.
En la lucha contra los ciberataques a redes industriales, la concientización y acción proactiva son clave. Adoptar estrategias de seguridad robustas y específicas para entornos OT, junto con la comprensión de las vulnerabilidades y sus mitigaciones, es esencial para preservar la integridad de la infraestructura crítica. Solo mediante un enfoque integral y continuo se podrán enfrentar los desafíos actuales y futuros en el panorama de la ciberseguridad industrial.
