Acabamos de actualizar el software de los sistemas del proceso de distribución y todo funciona mal. Hemos segmentado la red y establecido reglas en el firewall y ahora la plataforma de supervisión no está accesible. Sí, las medidas de ciberseguridad pueden introducir pérdidas de integridad o disponibilidad y son un riesgo para los servicios esenciales de un país.
Medidas de ciberseguridad
La ciberseguridad se enfoca en la protección de los sistemas, las redes y las aplicaciones. Cuando tenemos infraestructuras críticas de servicios esenciales que están soportadas por tecnologías de operación, para protegerlas es fundamental implementar medidas de ciberseguridad. Pero estas medidas deberán ser también parte de la evaluación de riesgos de ciberseguridad tecnológica; de lo contrario, supondrá introducir nuevos riesgos.
En un servicio esencial de generación de energía, de distribución de agua o de transporte que esté automatizado, la incorporación de medidas de ciberseguridad es un gran reto. Un error puede suponer graves consecuencias. Por ello es fundamental evaluar todos los posibles riesgos y planificar muy bien la implementación de estas medidas. No siempre es posible adoptar algunas medidas de prevención o de respuesta a un incidente. Por dicho motivo se suelen aplicar medidas compensatorias, como, por ejemplo, controles de acceso físico o en la red.
Parches y ‘ransomware’
Algunos de los errores comunes que he visto, a la hora de aplicar medidas de ciberseguridad para proteger un servicio esencial, son la falta de mantenimiento o la escasez de comprobaciones. Como, por ejemplo, no realizar una comprobación completa y periódica de las copias de seguridad, no revisar periódicamente la configuración y reglas de cortafuegos y otros dispositivos de ciberseguridad. Pero quizás el error más grave es una gestión inadecuada de los parches de seguridad.
No aplicar una gestión de parches correcta en las tecnologías de operación puede tener consecuencias potenciales de sufrir ciberincidentes de alto impacto. El abanico de ciberataques es realmente amplio por la ausencia de una gestión de parches.
Si clasificáramos la larga lista de organizaciones con servicios esenciales afectadas por incidentes de ciberseguridad por la falta de parches, la principal causa sería el ransomware. Este tipo de malware está dedicado a cifrar el contenido de los equipos aprovechando vulnerabilidades no parcheadas y pedir un rescate para recuperarlo.
El ransomware de los últimos años incluye capacidades interesantes, como, por ejemplo, exfiltrar información durante un período de tiempo antes de realmente cifrar el contenido. De manera que, si la víctima se niega a pagar para recuperar sus archivos, la extorsión puede variar hacia exigir un pago a cambio de no hacer pública la información exfiltrada.
Son varios los casos de organizaciones que prestan servicios esenciales que han sido afectadas por este tipo de malware en los últimos años, aunque algunas de ellas lo han negado pública y enfáticamente. Pero este tipo de incidentes se filtran rápidamente en las redes sociales o entre los grupos de Slack o Telegram de los profesionales del sector.
Otras ciberamenazas
Últimamente también se ha puesto de moda la infección de equipos sin la necesidad de contar con un archivo ejecutando una actividad maliciosa en el sistema. Este tipo de malware hace uso de herramientas y procesos propios del sistema operativo (como, por ejemplo, PowerShell o WMI) sin descargar ejecutables extras en la víctima, dificultando muchísimo su detección para las herramientas antimalware. Por lo general, requiere la complicidad del usuario del sistema para afectar el equipo, quien, claramente, no lo haría de forma consciente.
En los últimos años, esta técnica ha sido muy utilizada para afectar estaciones de ingeniería y lograr así comprometer los equipos con los cuales se configuran los PLC (controladores lógicos programables) que controlan la infraestructura crítica de servicios esenciales. Como con muchos otros ataques sofisticados, las organizaciones deben buscar seguridad de múltiples capas para prevenir y detectar ataques de malware sin archivos o modelos centrados en la identidad de Confianza Cero más sofisticados para limitar los riesgos.
Las capas antispam y antiphishing pueden ayudar a detectar enlaces entrantes antes de que lleguen a los usuarios, pero se verán afectados por un malware escondido. Estas capas de protección también pueden ocasionar problemas de rendimiento o de acceso. Por ello es fundamental que estas medidas sean muy bien probadas y gestionadas.
Riesgo y gestión
En general, el firmware de los dispositivos de control industrial, como del software que utilizan los HMI o los servidores SCADA para la supervisión, las estaciones de ingeniería y el resto de los componentes instalados sobre un sistema operativo, tiene agujeros de seguridad. Vulnerabilidades que antes no se conocían pero que ahora se reportan públicamente en los CVE de Mitre. Y que, además se publican en avisos de la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA, por sus siglas en inglés) de Estados Unidos, o de fabricantes como Siemens.
Más del 60% de las infracciones de seguridad tiene como objetivo aprovechar vulnerabilidades conocidas que podrían haberse evitado con un simple parche. Pero la gestión de parches no sólo debe proporcionar la capacidad de descubrir e informar sobre dispositivos sin parches. También es fundamental la capacidad de administrar el tiempo y la entrega de parches para minimizar la carga de la red y el posible impacto en la productividad.
Es evidente que cualquier cambio introducido en un entorno que automatiza un servicio esencial introducirá un riesgo. Es por ello por lo que el mejor momento para incorporar medidas de ciberseguridad será siempre en los nuevos proyectos. Por esa razón, en cualquier renovación tecnológica o al incorporar la digitalización se deberá aprovechar la ocasión para abordar la ciberseguridad, pero siempre evaluando su riesgo y contemplando su gestión.