En los últimos años se han detectado multitud de ciberataques a infraestructuras críticas que han conseguido poner en jaque a un sector que antaño desarrollaba su actividad sin poner mucho empeño en proteger sus infraestructuras informáticas.
Sin embargo, los tiempos cambian y movidos por un irrefrenable deseo económico y de causar daño, los atacantes están aprovechando la falta de estandarización de los protocolos industriales o la antigüedad de algunos de estos sistemas que, entre otras, no integran un sistema operativo debidamente parcheado, para perpetrar tales acometidas. Asimismo, el modo en el que entienden y gestionan su seguridad muchas organizaciones industriales, aplicando medidas más cercanas al mundo TI que a sus entornos operacionales (OT), no hace sino alentar estas ofensivas.
Así ataques como Night Dragon, duqu, shamoon o flame, dirigidos a conseguir información sobre clientes objetivos y sus sistemas, u otro más violentos como Stuxnet, DragonFly, BlackEnergy, CrashOverride o Industroyer, utilizados para afectar a los sistemas mediante denegaciones de servicio, degradación del rendimiento del sistema, apagones de centrales eléctricas o borrado de disco duro, han sembrado el caos por todo el mundo.
A la luz de esta situación, todo parece indicar que estos ataques seguirán produciéndose, creciendo en sofisticación y violencia. En este sentido, revisar los vectores de ataque que comparten y conocer unas cuantas reglas en torno a la seguridad, ayudará a las empresas a protegerse o, cuanto menos, a minimizar el efecto devastador de estos ataques.
Pescando al usuario más débil
Uno de los vectores más utilizados a la hora de atacar los entornos OT son las campañas de phishing. Ciertamente, los atacantes son conscientes de que el eslabón más débil es el usuario final, y lo utilizan como vía de entrada a la red corporativa. Para intentar atajar este problema es necesario implantar en las organizaciones políticas de formación continua en ciberseguridad.
Por otro lado, resulta significativo que muchos de estos ataques comiencen en la red IT, para desde ahí acceder a la red OT. En este contexto, la creencia de que la red OT está aislada y no conectada a Internet debe ser suprimida del ideario industrial. Hoy por hoy, no existen múltiples redes, sino una única, global, que debe ser gestionada como un todo y no como un conjunto de islas independientes.
Algo similar ocurre con los elementos que convergen en torno a esta red y que, al ser hackeados, se convierten en un dínamo capaz de distribuir una carga maligna por la red, en dirección hacia el sistema objetivo. Para detectar este tipo de ataques es útil disponer de alguna solución tecnológica que, basada en el comportamiento, sea capaz de detectar este tipo de tráfico “anómalo” por la red.
La necesidad de asegurar lo que no se ve
Desde hace algunos años, el despliegue de redes Wireless en las plantas de producción se ha incrementado; la flexibilidad y sencillez que integran lo ha promovido. Sin embargo, esta situación ha propiciado un crecimiento de entradas “no controladas” provenientes de dispositivos ajenos a la producción. Por tanto, antes de desplegar un proyecto de WiFi es importante definir el número de accesos que se va a proporcionar a los usuarios y hacerlo siguiendo las mismas políticas de segmentación aplicadas a las redes cableadas.
Los dispositivos USB extraíbles son muy utilizados a diario, tanto en los entornos IT como OT. Por ello, controlar el acceso de los dispositivos USBs a los sistemas industriales es una medida de seguridad prioritaria. No obstante, y, dado que llevar a cabo esta limitación puede ser complicado, una buena postura pasa por concienciar a los usuarios sobre los peligros que entraña el uso (inseguro) de USBs.
Además de concretar la cantidad de accesos, la realización de un inventario detallado y actualizado de los dispositivos que entran en la red OT, permitirá conocer tanto el número de equipos como su estado, lo que será de gran ayuda a la hora de aplicar políticas de seguridad apropiadas para proteger dicho entorno.
Por último, si lo que se pretende es tener controlada la seguridad de la empresa de manera global, es esencial extender las políticas de seguridad corporativas a todos los colaboradores externos. De un modo u otro, cualquier cliente, partner o socio tiene acceso a la red, por lo que, sin pretenderlo, puede llegar a ser el foco de una infección que comprometerá los recursos corporativos.
Tras evaluar estas pautas, volvemos al principio: por sus especiales características, muchas de las soluciones y procedimientos que hemos adoptado tradicionalmente para IT, no son válidos para las redes OT. Por tanto, es imprescindible buscar soluciones tecnológicas que se adapten a estas particulares necesidades y, como siempre, realizar este viaje con un compañero que entienda el negocio y conozca sus especiales peculiaridades.
María Penilla
Technical account manager, business development unit de Exclusive Networks Iberia
