En medio de todas las violaciones de datos de alto perfil y los ataques de ransomware a los sistemas de tecnología de información (IT) en los últimos años, la amenaza a la tecnología operativa (OT) sigue siendo a menudo subestimada. Sin embargo, atacar los sistemas tecnológicos que interactúan con el mundo físico es la forma más rápida de conseguir resultados que pueden ser devastadores. Ucrania, por ejemplo, ha sido víctima de los ataques BlackEnergy e Industroyer, que han conseguido sabotear su infraestructura energética esencial.

El primero estuvo detrás del primer apagón de la historia causado por un ciberataque en 2015, y el segundo provocó apagones masivos para los residentes de Kiev al año siguiente. En 2022, los investigadores de ESET, junto con CERT-UA, dieron la noticia de que habían identificado una nueva variante de Industroyer que estaba programada para volver a cortar la electricidad en una región de Ucrania pero, afortunadamente, el ataque se frustró a tiempo. Aunque relativamente raros, estos incidentes ponen de relieve que ninguna organización, especialmente las que operan en infraestructuras críticas, puede permitirse el lujo de descartar la ciberamenaza de las tecnologías de la información.

Las repercusiones de estos ataques pueden ser graves, incluida la destrucción de infraestructuras críticas y el sabotaje de procesos empresariales. Según una estimación, el año pasado se produjeron 68 ciberataques que interrumpieron más de 500 operaciones físicas. Esto representa un aumento anual del 16%. Las cifras citadas por McKinsey afirman que el coste por incidente de los ataques graves puede ascender a 140 millones de dólares. Eso sin contar el posible escrutinio normativo en el Reino Unido (Normativa NIS) y la UE (NIS2).

La amenaza procede tanto de ciberdelincuentes con motivaciones económicas como de Estados nación. Es más probable que estos últimos estén esperando un momento de tensión geopolítica. Una de estas campañas, respaldada por el Estado chino y descubierta el año pasado, se denominó Volt Typhoon. En ella, los actores de la amenaza eran capaces de persistir en redes de infraestructuras críticas, con el objetivo de sabotear activos clave en caso de conflicto militar.

Tecnologías de información y tecnologías operativas

A diferencia de la IT, que está diseñada para gestionar sistemas de información y aplicaciones, la OT incluye el software y el hardware desplegados para gestionar los sistemas del mundo físico. Se encuentra comúnmente en fábricas e instalaciones industriales, en sistemas de control industrial (ICS), sistemas de control de supervisión y adquisición de datos (SCADA) y controladores lógicos programables (PLC). Sin embargo, sectores tan diversos como el transporte, los servicios públicos y la sanidad también están repletos de OT.

Los problemas de ciberseguridad en el mundo de las tecnologías operativas empezaron en serio cuando lo que antes eran sistemas de encapsulamiento hermético, construidos expresamente, se mejoraron con la conectividad a Internet. Aunque esto facilitó su gestión remota, también los expuso a amenazas procedentes de todos los rincones del planeta. Al mismo tiempo, la vieja certeza de la "seguridad a través de la oscuridad" comenzó a erosionarse, a medida que los actores de las amenazas sondeaban más sistemas y encontraban más fácil localizar en línea información sobre su configuración e instalación. También ayuda a sus esfuerzos el hecho de que Windows se utilice a menudo en SCADA y otros entornos OT, al igual que los componentes más estandarizados.

EW WLS banner ES

Por qué es difícil acertar con la seguridad OT

Los sistemas OT suelen tener una vida útil mucho más larga que los TI, lo que puede causar problemas de compatibilidad y seguridad. También es cierto que la ciberseguridad no siempre ha sido una prioridad en el sector. Un informe publicado en 2022 reveló 56 nuevas vulnerabilidades en productos de OT, y los autores criticaron las prácticas de "inseguridad por diseño" de los fabricantes. Los autores del informe afirmaron incluso que muchos de los problemas que descubrieron no tenían asignados números CVE oficiales, lo que dificultaba a los propietarios de los activos llevar a cabo comprobaciones eficaces de la gestión de riesgos.

Los equipos internos de OT también piensan de forma diferente sobre la ciberseguridad que sus homólogos de TI. Mientras que estos últimos se guían por el apoyo a la confidencialidad -es decir, la protección de datos y activos-, los primeros dan prioridad a la disponibilidad (accesibilidad) y la seguridad. Esto puede plantear problemas a la hora de gestionar parches y vulnerabilidades, si se valora más el tiempo de actividad que el endurecimiento de los sistemas expuestos.

Entre los demás retos de la seguridad OT, podemos enumerar:

  • Presencia de protocolos de comunicación heredados e inseguros
  • Larga vida útil del hardware, que puede provocar problemas de compatibilidad del software y obligar a los gestores a utilizar sistemas operativos y software obsoletos
  • Equipos heredados demasiado antiguos para adaptarse a los controles de ciberseguridad modernos
  • Certificaciones de seguridad que no reconocen defectos graves, lo que da a los administradores una falsa sensación de seguridad
  • Problemas de seguridad por diseño sobre los que no se informa ni se asignan CVE, lo que significa que pasan desapercibidos
  • Equipos de TI/OT aislados, que crean lagunas de visibilidad, protección y detección
  • Contraseñas inseguras y configuraciones erróneas
  • Criptografía deficiente
  • Actualizaciones de firmware inseguras

Proteger la OT: colocar las piezas en su sitio

El ransomware sigue siendo una de las mayores amenazas para los sistemas OT, aunque el robo/extorsión de datos, los ataques destructivos, las amenazas a la cadena de suministro e incluso el malware transmitido por USB pueden suponer un riesgo para estos sistemas. ¿Cómo mitigar estos riesgos? Como siempre, una estrategia a varios niveles centrada en las personas, los procesos y la tecnología es el camino a seguir:

  • Detección y gestión de activos: Conozca todos los activos de OT, cómo funcionan y su estado de seguridad y parches.
  • Gestióncontinua de vulnerabilidades y parches: Analice periódicamente los activos de OT en busca de vulnerabilidades y ejecute programas de gestión de parches automatizados y basados en riesgos. Considere la posibilidad de aplicar parches virtuales en entornos en los que resulta complicado desconectar los sistemas para probarlos y aplicarles parches.
  • Segmente y separe las redes: Asegúrese de que la red de OT se mantiene aislada de la red corporativa de TI y está segmentada para reducir las oportunidades de movimiento lateral de los actores de amenazas.
  • Gestión de identidades y accesos: Implantar la autenticación multifactor, aplicar políticas de mínimos privilegios y controles de acceso basados en funciones.
  • Prevención de amenazas: Implemente soluciones de seguridad para prevenir y detectar programas maliciosos y otras amenazas.
  • Protección de datos: Proteja los datos de OT en reposo y en tránsito con un cifrado fuerte, y haga copias de seguridad con regularidad para mitigar el impacto del ransomware.
  • Supervisión de la cadena de suministro: Asegúrese de que todos los proveedores de equipos y software, vendedores y proveedores de servicios gestionados (MSP) estén cubiertos por un programa detallado de aseguramiento de la cadena de suministro.
  • Seguridad centrada en las personas: Revise los programas de concienciación y formación en seguridad para crear una cultura en la que prime la seguridad.

Hace unos años, Gartner advirtió que para 2025, los actores de amenazas serían capaces de convertir en armas los entornos OT para dañar o matar a seres humanos. A medida que la IA facilita a los hackers seleccionar y comprometer objetivos expuestos, es más importante que nunca que los propietarios de TI redoblen la seguridad en capas. Las recomendaciones formuladas en este documento de gobernanza nunca han sido tan importantes.