Protección de Sistemas Industriales – Certsuperior
55 5985 - 5000
Av. Santa Fe no. 170, Col. Lomas de Santa Fe,CP. 01210
Protección de Sistemas Industriales – Certsuperior
CertSuperior Banner

Protección de Sistemas Industriales

Los ataques dirigidos ya no son intentos de intrusión realizados por novatos, sino un arma de ciberespionaje esencial. Los sistemas de control industrial (ICS) se han vuelto un blanco muy apetecible, e incluso hay quien los ataca con la intención de desestabilizar la seguridad nacional. En vista de estos riesgos, los países están dándose cuenta de la necesidad de proteger mejor los sistemas ICS con la inversión y las medidas adecuadas.
Los sistemas de control industrial controlan, supervisan y gestionan la infraestructura esencial de sectores relacionados con el suministro de energía eléctrica, el abastecimiento de agua y la gestión de aguas residuales, el petróleo y el gas natural, el transporte y otras actividades industriales. Algunos incluyen otros componentes, como sistemas de supervisión, control y adquisición de datos (SCADA), controladores lógicos programables (PLC) o sistemas de control distribuido (DCS).
Últimamente, los ataques a sistemas ICS se han vuelto muy habituales. Según sus objetivos, que van desde el ciberespionaje hasta la inutilización del sistema, las repercusiones sociales y económicas pueden ser graves. Sin embargo, muchos no llegan a hacerse públicos para que no peligre la reputación de la víctima, lo que lleva a subestimar la gravedad del problema.
En 2010, salió a la luz Stuxnet, una amenaza diseñada para atacar determinados sistemas SCADA y las instalaciones del programa nuclear iraní. Desde entonces, todos los años han surgido muchísimos tipos de malware de ataque, y 2014 no ha sido una excepción. Los responsables de Dragonfly, una campaña de ciberespionaje con distintos objetivos (sobre todo en el sector energético), consiguieron atacar varios sistemas ICS de gran importancia estratégica. Aunque no llegaron a realizar operaciones de sabotaje, hubieran podido hacerlo, lo cual habría alterado el suministro eléctrico de los países afectados.
Más recientemente, Sandworm atacó la interfaz hombremáquina (HMI) de varios fabricantes conocidos con una campaña de malware de gran complejidad. Como estas interfaces están conectadas a Internet, los atacantes se sirvieron de ellas para explotar las vulnerabilidades del software ICS y, posiblemente, para reconocer el terreno y preparar otros ataques.
El último incidente de 2014 fue el ataque a una fábrica de acero alemana cuyos altos hornos sufrieron graves daños a raíz de un ataque cibernético.14 Los ataques a sistemas ICS han evolucionado y se han vuelto más frecuentes, por lo que urge mejorar las medidas de protección.
Una vez instalados, estos dispositivos tienden a utilizarse durante años y se aíslan o se protegen con protocolos internos y hardware especializado cuya verdadera seguridad se desconoce. Muchos de estos sistemas se crearon antes de que las empresas usaran tecnologías basadas en Internet, y en su diseño se tuvieron en cuenta aspectos como la fiabilidad, el mantenimiento y la disponibilidad, pero no tanto la seguridad. Sin embargo, hoy en día es necesario que estén conectados a la red de la empresa y que sean accesibles de forma remota, lo que deja al descubierto sus vulnerabilidades y cambia radicalmente la superficie de ataque.
La mayoría de los ataques a sistemas ICS se producen porque en la infraestructura hay dispositivos clave con acceso a Internet que no están bien protegidos. Para permitir el acceso remoto, algunos elementos de los sistemas SCADA (con los que se supervisan plantas y equipos) utilizan la red empresarial para conectarse a Internet. Esto deja al descubierto la red de control y aumenta los riesgos de que alguien sin autorización acceda a los dispositivos o realice inspecciones, análisis o ataques de fuerza bruta.
Algunos atacantes se sirven de las interfaces HMI para hacerse con el control de los dispositivos, ya que por lo general son accesibles desde la red empresarial. Alguien que aproveche una vulnerabilidad de día cero para atacar los hosts de una empresa podrá averiguar cuáles tienen acceso a la red de control y utilizar esta información para infiltrarse en los sistemas ICS.
Otra opción es buscar una interfaz HMI con conexión directa a Internet, algo muy sencillo con cualquier motor de búsqueda. Una vez localizados los dispositivos de control, bastará con que estén mal configurados o presenten vulnerabilidades para lanzar un ataque. Ni siquiera hacen falta conocimientos especializados.
Además de los puntos de entrada que acabamos de mencionar, los sistemas ICS y el software que utilizan tienen vulnerabilidades que dejan la puerta abierta a quien quiera aprovecharlas. Muchas aplicaciones web patentadas presentan problemas de seguridad que permiten realizar ataques de desbordamiento de búfer, inyección SQL o secuencias de comandos entre sitios. Además, si los métodos de autenticación y autorización son poco elaborados, el agresor podrá acceder a las funciones más importantes del sistema ICS. Por ejemplo, una autenticación descuidada en los protocolos ICS podría permitir realizar ataques de interposición «Man-inthe- Middle» como el reenvío o la suplantación de paquetes. También cabe la posibilidad de que el atacante envíe comandos no autorizados a controladores lógicos programables o información de estado falsa a las interfaces HMI.
La lógica en escalera con la que se programan los PLC es un elemento esencial de los entornos ICS. Alguien que consiga infiltrarse en una estación de trabajo utilizada para crear y cargar dicha lógica podrá diseñar ataques con técnicas de ingeniería inversa.
Para proteger los entornos ICS, se necesita un plan de seguridad exhaustivo en el que se definan los objetivos de seguridad de la empresa (qué estándares se usarán, qué leyes hay que cumplir, cuáles son los factores de riesgo y su repercusión en la empresa, y qué medidas paliativas se adoptarán si se produce un ataque). La seguridad debe estar integrada en todas las fases de los procesos industriales, desde la planificación hasta las operaciones cotidianas. También deberían separarse la red de control y la de la empresa, ya que así habrá menos probabilidades de que alguien use esta última para atacar. Sin embargo, muchos sistemas ICS tienen que estar conectados a la red empresarial por cuestiones prácticas. Si es así, habrá que limitar el número de puntos de acceso, protegerlos con un firewall y usar canales de comunicación seguros como una red privada virtual. Los entornos ICS están evolucionando, y está empezando a ser habitual que los fabricantes ofrezcan asistencia para el software de seguridad de los dispositivos de control en servidores SCADA y en estaciones de trabajo de ingeniería de uso general. Sin embargo, los controladores lógicos programables y los sistemas de control distribuido siguen usando sistemas operativos personalizados de determinados fabricantes. Una vez instalados, no toleran las interrupciones y tienen recursos limitados y código dependiente del tiempo, lo que limita su compatibilidad con las típicas soluciones de seguridad para sistemas informáticos empresariales. En realidad, no hay ninguna solución milagrosa que garantice plenamente la seguridad de los sistemas ICS. Lo mejor es ir protegiendo cada capa de forma integral: el perímetro de la red, los puntos de acceso a la red externa y a la red de la empresa, el nivel de la red y los niveles de las aplicaciones y los basados en hosts.
Además, los dispositivos de control tendrían que estar diseñados para ser seguros y los fabricantes deberían verificar que lo sean antes de enviárselos al comprador.
Todo apunta a que, a partir de ahora, se usarán más las tecnologías móviles, lo que permitirá acceder a las interfaces HMI y controlarlas a distancia. Aunque los dispositivos móviles ayudarán a mejorar la eficiencia administrativa, también crearán una nueva superficie de ataque.
También es posible que surjan otras técnicas de infiltración en sistemas ICS y que se generalicen los kits de ataque, lo que aumentaría el número de incidentes.
Como ya ocurrió con Stuxnet y sus derivados, las variantes de las primeras amenazas dirigidas a sistemas ICS usaban vectores y artefactos de ataque similares a sus antecesoras, protocolos ICS estándar y troyanos de uso general. Es muy probable que ya haya sistemas ICS que tengan instaladas amenazas ocultas que, pese a estar aletargadas ahora mismo, podrían activarse cuando los atacantes así lo decidan. Y también es posible que empiecen a descubrirse vulnerabilidades aún más graves en las infraestructuras y que haya quien las aproveche con fines dañinos.