Pasar al contenido principal

Ciberataques hacia infraestructuras críticas

Introducción

Los ciberataques han sido siempre una de las mayores preocupaciones de las organizaciones que se encargan de administrar infraestructuras críticas. Estos ataques tienen un gran impacto a nivel económico para las empresas, pero en muchos de los casos también supone una afectación directa a las personas. Según la WEF los ciberataques a infraestructuras críticas han sido calificados como el quinto riesgo más alto en 2020 ya que como se verá a continuación, este tipo de ataques puede provocar la caída de la red eléctrica en una ciudad entera, la contaminación de canales de agua para riego o para consumo humano, así como dañar los sistemas informáticos de hospitales, afectando a su funcionamiento y potencialmente a la salud de las personas. El aumento de la interconectividad de dispositivos en una empresa, así como el auge de productos IOT entre otras cosas, facilita la creación de puntos débiles en el sistema que pueden ser aprovechados por los atacantes.

Más ahora que nunca, dadas las circunstancias de la pandemia provocada por el COVID-19, vivimos en un momento en el que las empresas han tenido que adaptar sus sistemas para que muchas de las tareas que se realizaban in situ se completen ahora de forma remota con el teletrabajo, existiendo la posibilidad de que los sistemas no se hayan configurado de forma óptima, además de que muchas de estas personas carecen de la formación necesaria para realizar estas tareas de forma segura.

En definitiva, cada vez más hay incidentes de seguridad provocados por:

  • El aumento de la conexión entre dispositivos de la empresa, redes industriales a redes corporativas e internet.
  • Sistemas desactualizados por temor a que éstos dejen de funcionar dadas las grandes dependencias entre unos componentes y otros.
  • Ahorro de costes en el diseño del sistema.
  • La facilidad de operación se tiene más en cuenta en la fase del diseño que los aspectos de seguridad.

Campañas más populares

A continuación, se van a citar alguno de los ataques a infraestructuras críticas más relevantes de los últimos años, con la finalidad de ilustrar las potenciales consecuencias de estos incidentes.

  • Irán, 2010. Stuxnet fue diseñado para ser capaz de reprogramar los sistemas de control industrial de una planta nuclear en Irán, específicamente dañando los motores que se usan comúnmente en las centrifugadoras para enriquecer uranio afectando a un total de 1000 centrifugadoras.
  • Ucrania, 2015. Durante este ataque 3 compañías energéticas ucranianas se vieron afectadas, viéndose obligadas a cesar sus servicios durante un total de 6 horas en pleno invierno afectando a casi 250000 personas.
  • Triton, Arabia Saudí, 2017. Quizás el más alarmante de todos los ataques se produjo en 2017 y utilizando el malware conocido como tritón. Los atacantes obtuvieron el control del sistema de seguridad. Según diferentes investigaciones, se cree que el objetivo era provocar una explosión, o la liberación de gases tóxicos como sulfuro de hidrógeno mediante la desactivación de los sistemas de seguridad, diseñados específicamente como la última barrera ante situaciones que podrían ser catastróficas.

Estos son solo algunos de los ejemplos que se han observado desde hace 10 años como también el caso de los ferrocarriles en Polonia donde un chico de 14 años consiguió que cuatro trenes descarrilaran o un caso muy sonado como el de Wannacry el cual paralizó el funcionamiento de 16 hospitales en Reino Unido además de diferentes empresas energéticas y de transporte.

Metodologías y objetivos

A lo largo de la historia algunos de estos ataques se han producido de manera interna por un empleado o exempleado descontento, por lo que se diferencian los ataques externos de los ataques internos. Desde el punto de vista de un auditor de seguridad, los ataques internos son más complejos de detectar ya que el intruso tiene acceso a los sistemas de control y además los conoce. La forma de detectar este tipo de ataques es mediante un monitoreo proactivo y con auditorías periódicas. Desde el punto de vista de un atacante externo, la metodología suele ser como la que procede:

  • Acceso a la red corporativa ya sea mediante redes públicas o marcas configuradas o mediante el robo de las credenciales de acceso a la VPN accesos remotos etcétera
  • Salto (pivoting) a la red industrial desde la red corporativa a la cual se ha tenido acceso
  • Configuración de backdoor con la que se tenga acceso a la red industrial desde internet
  • Recolección de información, así como de manuales y procedimientos sobre el sistema de control.
  • Ejecución del malware y obtención de control remoto

Es importante reconocer la fase de obtención de información por parte del atacante, ya que no suelen conocer el sistema y esto implica una cantidad de tiempo paras descubrirlo. Es lo que diferencia un ataque a una red industrial de una red corporativa, ya que en una red industrial se deben conocer otras tecnologías diferentes a las que se utilizan en la informática doméstica o corporativa, así como protocolos diseñados específicamente para sistemas industriales. Además, se deben pasar medidas de seguridad, las cuales deberían ser robustas y contundentes para proteger estos sistemas, tales como doble factor de autenticación, IDS/IPS, firewalls, etc.

A pesar de que las razones para este tipo de ataques pueden variar, desde razones políticas a razones sociales o económicas, los objetivos de los intrusos suelen ser de manera general los mismos:

  • Ocultar las acciones llevadas a cabo dentro del sistema, pérdida de visión desde el centro de control
  • Manipulación del control, así como de los sensores instrumentos y la visión del ICS (Sistemas de control Industrial)
  • Bloqueo del acceso Al ICS
  • Daño al ICS
  • Daño físico provocado a los sensores e instrumentos

Recomendaciones

Según una encuesta reciente, 9 de cada 10 compañías experimentaron una intrusión en el sistema en 2020 un 19% más que en 2019. En dicho informe se refleja también que la mayoría de ellas habían tomado medidas de seguridad, lo cual plasma el necesario cambio de mentalidad que hay que aplicar en este tipo de situaciones. Como es sabido, el eslabón más débil en la cadena de un ciberataque suele ser el factor humano, y es por ello que hay que profundizar en la formación de los empleados para que puedan hacer uso de las tecnologías de una forma más responsable y segura. Adicionalmente, se deberían proteger todos los sistemas que participan en el día a día en las actividades de la empresa, ya que basta un activo desprotegido para que la seguridad de una organización se vea afectada. Se recomienda también hacer un estudio sobre la seguridad de los sistemas industriales y mantenerse actualizado en el estado del arte de los mismos, así como implementar y definir mecanismos de seguridad sobre los sistemas de control, incluyendo inicios de sesión que requiera de doble factor de autentificación, mantener logs, implicar a los proveedores en otorgar recomendaciones de seguridad y mejores prácticas, así como definir y acordar procedimientos para la gestión de incidentes de seguridad. Por último, es importante no olvidarse también de realizar una buena monitorización para ser capaz de identificar estos incidentes.

Bibliografía

https://www.welivesecurity.com/la-es/2021/07/19/recompensas-informacion-relacionada-ciberataques-infraestructuras-criticas/

https://www.ccn-cert.cni.es/eu/gestion-de-incidentes/lucia/23-noticias/140-aumentan-los-ciberataques-a-las-infraestructuras-criticas.html

https://www.fortinet.com/lat/blog/industry-trends/como-proteger-la-seguridad-digital-en-las-infraestructuras-criticas

https://www.technologyreview.com/2019/03/05/103328/cybersecurity-critical-infrastructure-triton-malware/

Compartir

Compartir en Linkedin