Muchos entornos industriales son considerados infraestructuras críticas o estratégicas, pues prestan servicios esenciales. La ciberdelincuencia y los cibercriminales que se prestan a los intereses gubernamentales lo saben. Y ponen el foco en ellos con el deseo de interrumpir su actividad u obtener un beneficio económico. Por dicho motivo, la ciberseguridad industrial debe ser considerada una prioridad por quienes operan dichos entornos.
Pero, ¿qué es y en qué consiste este tipo de seguridad cibernética? ¿Cómo se implementa una estrategia encargada de robustecer la ciberseguridad en los procesos productivos industriales? Y no menos relevante, ¿qué ventajas aporta?
¿Qué es la ciberseguridad industrial?
En cuanto a la primera cuestión, el Centro de Ciberseguridad Industrial (CCI) define esta última como «el concepto que reúne las prácticas, tecnologías y procesos para gestionar y controlar, de forma eficiente y eficaz, el riesgo inherente a las tecnologías de la operación (OT, por sus siglas en inglés) y el ciberespacio».
En el contexto actual, las redes OT están conectadas a tecnologías de la información (IT, por sus siglas en inglés) e Internet. Y muchas de ellas, como veremos a continuación, se han quedado obsoletas en términos de seguridad. Por consiguiente, entre otras razones, los operadores de entornos industriales se han convertido en un objetivo para los ciberatacantes.
Principales retos de la ciberseguridad en entornos industriales
Pero, ¿a qué retos se enfrentan las organizaciones en materia de ciberseguridad industrial? ¿Por qué en los últimos años se han registrado tantos fallos y brechas que han afectado o interrumpido la prestación de servicios considerados esenciales en numerosos casos?
Sobre dicha cuestión, los expertos observan que muchas infraestructuras industriales se caracterizan por una serie de carencias. A saber:
- Escasos conocimientos sobre ciberseguridad.
- Falta de concienciación, lo cual se traduce en una acción tardía a la hora de tomar medidas para prevenir o responder a incidentes de origen cibernético.
- Amplia superficie de exposición debida, sobre todo, al empleo de sistemas operativos obsoletos que no admiten actualizaciones o parcheos. Y cuyo reemplazo no es un asunto preferente para los tomadores de decisiones por los elevados costes económicos que conlleva.
- Menosprecio del riesgo. A día de hoy, pese a que los ciberataques contra entornos industriales son frecuentes, existen organizaciones ajenas a los riesgos cibernéticos. Y que creen que no serán víctimas de los ciberdelincuentes o cibercriminales.
Tipos de ciberataques contra infraestructuras industriales
En las últimas dos décadas, los ciberataques a infraestructuras industriales han sido una constante. Y se han llevado a cabo con todo tipo de técnicas. Entre ellas, las siguientes:
- Actualizaciones indebidas o maliciosas en los dispositivos.
- Ataques a la cadena de suministro.
- Ataques de denegación de servicio (DoS, por sus siglas en inglés).
- Distribución de malware en los dispositivos industriales o de campo.
- Espionaje a través de las bases de datos.
- Secuestro e interceptación de comunicaciones (ataques man-in-the-middle).
- Spear phishing (también conocido como phishing personalizado o de lanza).
Una vez que los ciberatacantes logran su objetivo, las organizaciones se enfrentan no solamente al cese de su actividad. También a riesgos reputacionales, denuncias de los usuarios y sanciones en caso de incumplimiento normativo.
Ejemplos de ataques famosos contra servicios esenciales
Desgraciadamente, los ataques cibernéticos contra entornos industriales se han convertido en noticias más habituales de lo deseable en los medios de comunicación. A continuación, destacamos algunos de los que han tenido una mayor repercusión:
- 2010. Planta nuclear de Natanz (Irán). Sirviéndose del gusano Stuxnet, los ciberatacantes consiguieron deshabilitar 1.000 centrifugadoras –usadas para enriquecer uranio–.
- 2012. Red industrial de Saudi Aramco. La red informática de la compañía energética saudí se vio afectada por el virus Shamoon. Se calcula que se llegaron a destruir en torno a 30.000 ordenadores. En 2021, la empresa fue extorsionada y los cibercriminales solicitaron 50 millones de dólares por devolver un terabyte de información confidencial.
- 2015. Red eléctrica de Ucrania. Las hostilidades cibernéticas contra el país de Europa del Este no son algo nuevo. Utilizando el software malicioso BlackEnergy, los atacantes interrumpieron el suministro eléctrico y dejaron a casi 250.000 personas sin electricidad durante varias horas en pleno invierno.
- 2017. Maersk. El malware NotPetya provocó que la compañía logística no pudiese enviar contenedores durante varias semanas. Se calcula que Maersk sufrió unas pérdidas de 300 millones de dólares.
- 2021. Oldsmar (EEUU). Los ciberatacantes consiguieron acceder a los sistemas de supervisión, control y adquisición de datos (SCADA, por sus siglas en inglés) de la planta de agua y modificar los niveles de sosa cáustica. Afortunadamente, la intrusión se detectó a tiempo y no causó efectos adversos a la población.
- 2021. Colonial Pipeline (EEUU). Como ya informó Segurilatam, la mayor red de oleoductos de Estados Unidos admitió haber sido víctima de un ataque de ransomware y hubo de suspender sus actividades. El grupo de piratas informáticos DarkSide solicitó un rescate de 4,4 millones de dólares.
Como puede advertirse, el sector energético y el del agua se han visto especialmente afectados. Pero no son los únicos. El ejemplo de Maersk también debe considerarse un acto de interferencia contra la prestación de servicios esenciales. En este caso, logísticos.
En relación a estos últimos, en los meses de confinamiento de la pandemia por COVID-19 pudo comprobarse que resultaron vitales para distribuir todo tipo de productos –entre ellos, los de primera necesidad– a lo largo y ancho del planeta.
10 consejos para implementar una estrategia de ciberseguridad industrial
Si bien implementar una estrategia de ciberseguridad industrial es un tema complejo que requiere un proyecto ad hoc para cada infraestructura o entorno, en la misma es importante poner en práctica estos 10 consejos:
- Contar con los servicios de profesionales y partners de confianza. Para empezar, es fundamental que los gestores de entornos industriales contraten profesionales de ciberseguridad cualificados. Y que estos, a su vez, seleccionen partners solventes para asesorar, implementar y dar seguimiento a la estrategia de seguridad cibernética.
- Realizar un inventario de activos y un diagnóstico de ciberseguridad. Conocer qué se debe proteger y cómo se encuentra una organización en lo referente a su protección cibernética es el primer paso que ha de darse cuando se decide implementar una estrategia de ciberseguridad en entornos industriales.
- Diseñar y ejecutar un Plan Director de Ciberseguridad. Del mismo modo, hay que tener claros los objetivos de la estrategia, cuánto tiempo llevará implementarla, qué acciones y recursos serán necesarias, qué presupuesto requerirá… Sobre este último, es importante recordar que la seguridad no debe verse como un gasto, sino como una inversión.
- Aprovechamiento de estándares y certificaciones. Con el objetivo de crear una estrategia de ciberseguridad lo más robusta posible, es relevante conocer e integrar los estándares y las certificaciones de ciberseguridad más adecuados.
- Cumplir la normativa. Otro aspecto a tener en cuenta es que las organizaciones deben cumplir la normativa que afecte a su actividad. Incluida, lógicamente, la de ciberseguridad. Al implementar una estrategia de seguridad cibernética se debe aprovechar para comprobar todo lo relativo al compliance. De esta forma, se evitarán posibles sanciones.
- Implementar la ciberseguridad de forma progresiva. Una de las inquietudes de las organizaciones es la posibilidad de que la implementación de una estrategia de seguridad cibernética paralice su actividad diaria. Ante esta preocupación, los partners proponen realizar integraciones progresivas.
- Incluir la seguridad cibernética en la digitalización industrial. Al afrontar un proyecto de digitalización industrial, es primordial contemplar la ciberseguridad desde el diseño. Es decir, desde el instante en que se aborda el proyecto.
- Incorporar la seguridad cibernética a la cadena de suministro. La estrategia de ciberseguridad no debe ceñirse únicamente a la propia organización. Además, han de exigirse unos elevados estándares a los proveedores.
- Capacitar a empleados y colaboradores. Una estrategia de ciberseguridad no concluye cuando se han implementado las soluciones destinadas a proteger los activos. La misma debe proseguir con una capacitación constante del personal.
- Adoptar una cultura de resiliencia. Todo ello, en suma, redundará en una cultura de ciberseguridad resiliente. Recordemos que la resiliencia es la capacidad de adaptación y recuperación ante agentes, estados o situaciones adversos como los ataques cibernéticos.
¿Qué ventajas aporta la ciberseguridad a los operadores de infraestructuras industriales?
Sin duda, una vez implementada, una estrategia de ciberseguridad industrial robustece las operaciones de las organizaciones y aporta interesantes beneficios. Entre ellos:
- Mayor protección de los procesos industriales y la información de las organizaciones.
- Menor probabilidad de ser víctimas de los ciberdelincuentes o cibercriminales.
- Ello se traduce en menos riesgos ante casos de extorsión por ransomware.
- Y también en una menor exposición a los riesgos reputacionales, sanciones administrativas o posibles demandas por interrupción del suministro de un servicio.
En definitiva, la seguridad en entornos industriales no puede ser tomada a la ligera. En la era de la cuarta revolución industrial o industria 4.0 y del Internet Industrial de las Cosas (IIoT, por sus siglas en inglés), la protección de los mundos OT e IT es básica para el normal funcionamiento de una organización.
Archivado en: