Hace unos 10 años atrás las empresas de sectores industriales veían como el crecimiento de incidentes ciberneticos generaba estragos en los sectores de IT de sus organizaciones y asumían que su aislamiento de redes en internet e intranet los iba a proteger siempre, por lo que mantenían su enfoque de riesgos hacia otras causas.}

Esto empezó a cambiar con incidentes como el generado por Stuxnet, que sin duda marco un antes y un después en la ciberseguridad de los entornos de control industrial, pero no fue sino hasta 2015 con la aparición de Duqu y Flame que los sistemas de control industrial (ICS) se convirtieron en un objetivo claro, donde casos como Triton demostró que incluso los sistemas de protección con seguridad física podía ser vulnerado.

En estos momentos incidentes como el sucedido con Colonial Pipeline, genero que incluso el presidente de Estados Unidos, firmara una orden ejecutiva para mejorar la ciberseguridad de la infraestructura crítica del país y que empresas como Mitre sacara específicamente una matriz de ATT&CK para ICS, con el cual es posible prevenir sucesos como el generado por Triton al hacer un análisis de este ataque en la matriz.

Sin embargo, la ciberseguridad en entornos industriales no puede ser tratada igual que si tratara de la tradicional seguridad en IT, pues existen fuertes diferencias que retan a los equipos de seguridad a tener que volver a capacitarse para un ambiente totalmente ajeno para ellos, pues aunque se base en protocolos y conexiones, el mundo del ICS y del IIoT  tiene bastantes diferencias, como que los sistemas de safety no implican seguridad.

Pero veamos algunas de las principales diferencias en como se debe abordar los procesos de seguridad en los entornos de control industrial.

– Lo primero es que la prioridad en seguridad ya no es la confidencialidad, sino que es la disponibilidad, pues una planta de producción o una de tratamiento de aguas o un sistema de abastecimiento eléctrico, incluso un simple ascensor genera más perdidas y mayor afectación a la sociedad si no esta disponible que si se pierde un poco de información.

– Teniendo en cuenta lo anterior, una de las cosas que más cambia son los procesos de detección de amenazas o pruebas de vulnerabilidades, debido a que los equipos de control industrial no están diseñados para soportar cargas fuertes de trafico pueden apagarse o reiniciarse como uno de los procesos de safety que tengan configurados y un reinicio de estos puede durar horas. Esto hace que la detección de amenazas se realice más de forma pasiva que de forma activa.

– Los protocolos que se manejan aunque muchos estén basados en TCP, no tienen las características de control de flujo o de seguridad propias de mundo IT, sino que más bien están orientadas en salvaguardar el control y en garantizar que los dispositivos reaccionen de forma ágil, ante cualquier cambio de señales, esto los hace propensos a ataques de hombre en el medio o de suplantación.

– La integración de sistemas en Internet, no se ha dado teniendo en cuenta la seguridad como una de las prioridades, así que sistemas médicos (IoMT), detectores o sensores industriales, migraciones a la nube para procesos de analítica de datos, entre otros, se han visto expuestos a ataques, a denegaciones de servicio y a divulgación de información por malos procesos de desarrollo o de integración en las redes.

A estas diferencias se les debe sumar que trabajar en estos entornos no es sencillo, pues suelen ser lugares remotos, con varias restricciones de acceso y con políticas de seguridad laboral muy estrictas, lo que hace que las pruebas de seguridad o la respuesta de incidentes tengan que tener nuevos procedimientos acordes con estos cambios.

Esto se ve reflejado también en los reportes de vulnerabilidades del sector, que como lo muestra Dragos en su reporte anual, el 64% de las advertencias de vulnerabilidad no tiene corrección por parte de los fabricantes y 43% de los reportes contienen errores que dificultan la priorización o ejecución de las mitigaciones.

Esto deja un panorama no muy claro para la ciberseguridad en entornos industriales, donde los gobiernos han empezado a darse cuenta de la necesidad de implementar medidas más ofensivas en la seguridad de las infraestructuras críticas y donde esto ha llevado a presiones en sectores privados para garantizar unos niveles adecuados en sus servicios.

Esto se ve agravado debido a que la delincuencia organizada se ha dado cuenta que este sector es altamente vulnerable y que debido a las presiones de sociedades o posibles afectaciones que les generarían multas incalculables, prefieren pagar las extorsiones (que cada vez más aumentan sus montos) antes de continuar con sus procesos de producción o servicios detenidos por estos ataques.

Iniciativas como la de INCIBE con los avisos de ICS, los reportes del CERT de US y algunos servicios especializados en monitorización de amenazas en OT, son una luz de esperanza en este camino que inicia con grandes retos y grandes amenazas para la industria 4.0.

About Author

Diego Samuel Espitia Montenegro

Diego Samuel Espitia Montenegro es Colombiano, egresado como ingeniero electrónico y especialista en seguridad de redes con más de 12 años de experiencia en el proceso de prueba y la implementación de infraestructura de seguridad de redes, donde ha implementado principalmente software de código abierto para el desarrollo de esquemas de redes seguras. Diego trabaja actualmente como Chief Security Ambassador en ElevenPaths (Unidad de Ciberseguridad de Telefónica). Es investigador de seguridad y publica artículos sobre diferentes temas de seguridad de la información. Ha sido ponente internacional en diferentes conferencias de seguridad y conferencias de negocios, donde ha presentado sus investigaciones en eventos como 8dot8 Chile, Bsides CO, SegurInfo, Colombia StartUp, Andicom y convenciones de negocios.

Deja un comentario