Estamos ante una nueva revolución industrial: la digitalización.
Un entorno industrial en el que las máquinas deben estar produciendo constantemente (disponibilidad), se pueden obtener muchos más datos de los equipos, las nuevas tecnologías nos permiten extraer muchas más conclusiones e información de esos datos, y existe una carrera por la innovación.
Todo esto, requiere de plataformas de computación muy potentes, procesados en la nube, conectividad… Lo que supone abrir nuevos caminos desde nuestros procesos hasta Internet. Y, por tanto, incluir un amplio rango de nuevas amenazas externas y vulnerabilidades que pueden ser aprovechadas para atacar nuestra infraestructura industrial.
Los ciberataques industriales se producen prácticamente a diario. Muchos quedan bloqueados por los cortafuegos y defensas interpuestas dentro de las estrategias de ciberseguridad, pero otros muchos han logrado llegar hasta su objetivo y han causado grandes pérdidas económicas y reputacionales a grandes marcas y compañías.
Queremos analizar tres de los ciberataques más importantes de la industria para señalar cómo se podrían haber evitado y darte las claves sobre las medidas y buenas prácticas en ciberseguridad industrial.
Ransomware WannaCry
Ransomware WannaCry es un ciberataque que afectó a empresas sector IT, como Telefónica, y OT, como fábricas Nissan y Renault. Tuvieron que cerrar fábricas y puestos de trabajos. Se habla de que las pérdidas económicas de 4 billones de dólares, con más de 230.000 ordenadores infectados.
Se trata de un tipo de ransomware que actúa como un gusano :se propaga a través de las redes hacia nuevos dispositivos usando SMBv1, un protocolo de uso compartido de archivos que permite a los PC comunicarse. Este ransomware se cuela usando el código EternalBlue, un código que se aprovechaba de una vulnerabilidad de software desconocida de Windows.
Entraba a través de ingeniería social, con un correo que lleva un ejecutable adjunto. El resultado era el cifrado de todos los archivos de los equipos de la red infectada. A cambio del código de descifrado pedían un rescate por la información.
¿Cómo se podría haber evitado este ciberataque?
Gestión de parches.
Sistemas operativos actualizados con la última versión y parches disponibles. Esto último es importante, porque solucionan vulnerabilidades conocidas que aprovechan para los ataques.
Sistema de gestión de backups.
Contar con un buen sistema de copias de seguridad, de forma que no nos expongamos a la pérdida de datos ante un secuestro. Es muy importante que estas copias de seguridad se encuentren en una red distinta de la que hacen la copia, incluso se almacenen en un lugar físico distinto.
Disponer de un buen diseño de red.
Para evitar que un virus se propague como un gusano, con un buen diseño de las redes podemos reducir en gran medida las expansiones de los virus. Segmentar los equipos en distintas redes es una de las estrategias de ciberseguridad primarias.
Plan de acción de ciberseguridad.
Contar con una estrategia y plan de acción de ciberseguridad que indique qué debemos hacer cuando nos vemos afectados por una amenaza digital. Lo idóneo es que todo el personal sepa que el plan existe, ponerlo aprueba cada cierto tiempo y que sepan ejecutarlo.
Acceso de forma remota a una plataforma de tratamiento de agua.
Un hacker accedió de forma remota a los sistemas de una planta de tratamiento de agua en la ciudad de Oldsmar, Florida, y modificó los niveles químicos del agua, hasta ser potencialmente peligroso para la salud.
Un operario de seguimiento de la monitorización detecto el cambio y pudo reestablecer las cantidades antes de que fueran efectivas.
¿Cómo se podría haber evitado?
Control del acceso remoto.
Especialmente con la pandemia, el acceso remoto ha cobrado mucha importancia. Es necesario contar con sistemas de VPN con doble factor de autentificación, firewalls…
Limitaciones de software y hardware del proceso.
No podemos permitir que el sistema de control lleve a cabo una consigna ilógica. Debe estar contemplado un rango de variables para también evitar posibles errores humanos.
Acceso a internet.
No debemos dar acceso a internet a equipos de procesos; si necesitan enviar datos o intercambios con sistemas externos, deberían tener equipos intermediarios que lo sirvan al exterior. Los equipos de los niveles 0-3 del esquema de Purdue, no deben tener acceso directo a internet. En caso de necesitar un intercambio de datos con IT se realizaría a través de una DMZ.
Bastionado de PC.
Realizar una configuración de seguridad de los equipos. El bastionado de PC consiste en dejar únicamente aquello necesario para la función que realiza, reduciendo así las vulnerabilidades y puertas de entrada. Por ejemplo, desactivando puertos abiertos, cuentas de administrador, etc.
Contraseñas seguras.
Utilizar contraseñas con factores seguros, modificarlos habitualmente…
Ransomware Darkside
Este tipo de ransomware realiza un cifrado de los datos dela víctima y se solicita un rescate económico para permitir de nuevo el acceso a los datos.
Afectó al Oleoducto de Colonial (EE.UU.), a la compañía que proporciona el 45% de suministro de combustible a la costa este de EEUU. Tuvieron que cerrar sus operaciones durante una semana, causando grandes pérdidas, y pagar 5 millones de dólares por el rescate.
¿Cómo intentaban distribuir el ransomware?
Intentan conectarse a la VPN mediante ataques directos.
Uso de vulnerabilidades para deshabilitarla autenticación multi-factor.
Correos electrónicos. A través dela ingeniería social. Usan correos electrónicos phishing que distribuyen un enlace con el archivo para la descarga.
¿Qué medidas de ciberseguridad podrían haberlo evitado?
Actualización de software.
Contar con la última versión de todo el software utilizado soluciona vulnerabilidades conocidas.
Factor de multiautentificación.
Doble verificación en el acceso de los diferentes sistemas.
Filtros antiphising.
Intenta evitar falsos con archivos potencialmente maliciosos.
Concienciación.
Las personas son los activos más vulnerables a nivel de ciberseguridad, es importante realizar formaciones en estos temas emergentes y cada vez más importantes. La última barrera de ciberseguridad es el factor humano.
Claves generales
Precaución.
La precaución consiste en conocer las ciberamenazas actuales del sector a las que estamos expuestos, tomar las medidas de protección adecuadas, actualizar herramientas e infraestructuras y la detección de posibles brechas de seguridad.
Protección.
Es importante contar con acciones y sistemas que reducen las posibilidades de sufrir ataques, así como una estrategia de ciberseguridad definida por profesionales con experiencia. Además, estar al día de las últimas medidas de protección para mantener la infraestructura industrial actualizada en estos términos.
Planificación.
Cuando tenemos una estrategia de ciberseguridad diseñada y lista para implantar, necesitamos un cronograma para ello. No podemos parar la instalación o modificar las redes sin precaución, para evitar cortes, parones y fallos. Por ello, deberemos tener un calendario de implantación de estas medidas y de comprobación.
Concienciación.
Uno de los vectores de ataque más común es el humano. Por ello, debemos formar y concienciar a todo el personal para que sea capaz de detectar este tipo de amenazas; y dotarles de las herramientas necesarias para evitarlos o hacerles frente, como planes de acción, medidas de protección, protocolos de crisis...
¿Te ha gustado?
Compártelo en redes sociales
