Consecuencias de un ciberataque en entornos industriales

Jorge Rubio Álvarez    17 enero, 2023

Podemos encontrar entornos industriales en cualquier tipo de sector que nos podamos imaginar, ya sea en empresas de tratamiento de agua, transporte, farmacéuticas, fabricación de maquinaria, eléctricas, alimentación o automoción, entre otras.

Las diferencias de un entorno industrial con el típico entorno corporativo o IT (Information Technology) es que las redes de comunicación industrial u OT (Operational Technology) están diseñadas para una tarea concreta y utilizan unos equipos y sistemas que no cambian en el tiempo. Es decir, se producen las mismas comunicaciones entre los mismos dispositivos de manera continuada, de forma cíclica, todo lo contrario al mundo corporativo en el que se conectan multitud de distintos equipos en diferentes momentos como, por ejemplo, los portátiles o móviles corporativos.

Otra de las grandes diferencias es que estos dispositivos industriales tienen una mayor probabilidad de poseer vulnerabilidades en su firmware o software ya que se tratan de equipos anticuados que no se suelen actualizar o parchear, al no ser compatibles con los últimos sistemas operativos del mercado o porque su reemplazo podría llegar a ser muy costoso para la empresa.

Además, es habitual el uso de comunicaciones de red sin cifrar o protocolos inseguros que permitan la explotación de vulnerabilidades o la obtención de contraseñas en texto claro.

Las implicaciones más graves de que un sistema industrial sea vulnerado es la afectación de la seguridad física de las personas.

Este estado en el que se encuentran los entornos industriales junto con la necesidad cada vez más apremiante de conectar los procesos industriales y las fábricas con el mundo corporativo, la nube o Internet, hace que aumenten los riesgos de un ciberataque a este tipo de instalaciones.

Las implicaciones más graves de que un sistema industrial sea vulnerado es la afectación de la seguridad física (safety) de las personas, además de pérdidas económicas o daños en la imagen de la empresa. Por ello es de vital importancia tratar de proteger estos equipos frente a cualquier ciberataque.

Qué ciberataques se han producido anteriormente en los entornos industriales

A lo largo de los años se han atacado a diversas empresas y organizaciones de todo tipo de entornos industriales, tanto con ataques técnicos como a través de ingeniería social, además de los producidos por descuidos, dejadez o falta de concienciación de los empleados como, por ejemplo, el uso de llaves USB entre equipos del sistema de control (OT) y sistemas corporativos (IT).

A continuación, se enumeran algunos ejemplos de los distintos tipos de ciberataques utilizados para atacar empresas de diversos sectores con entornos industriales:

  • Malware en los dispositivos industriales o de campo.
  • Secuestro de comunicaciones y ataques man-in-the-middle.
  • Denegación de servicio.
  • Spear phishing.
  • Espionaje a través de las bases de datos.
  • Ataques a la cadena de suministro.
  • Actualizaciones indebidas o maliciosas en los dispositivos.
Foto: Greg Rosenke / Unsplash

Y no se trata de casos aislados, ¡constantemente podemos observar en las noticias ataques a infraestructuras industriales! Algunos de los más relevantes son los siguientes:

  • Aeropuerto de Worcester en Estados Unidos (1997): Un hacker se introdujo en las comunicaciones del sistema de control del tráfico aéreo y provocó un fallo en el sistema que dejó totalmente inutilizado el sistema de telefonía que afectó a la torre de control y distintas áreas del aeropuerto (bomberos, meteorología, etc.) lo cual tuvo un gran impacto económico.
  • Saudi Aramco (2012): Un atacante consiguió acceso a la red industrial a través de uno de los empleados y borraron el contenido de todos los equipos. Esto provocó que la gestión de los suministros, el transporte del petróleo, los contratos con los gobiernos y con los socios de negocios fuera realizada en papel. Si se hubiera tratado de una empresa más pequeña probablemente este ataque la habría dejado en bancarrota.
  • Maersk (2017): Un ciberataque utilizando el malware “NotPetya” provocó cortes en todas las unidades comerciales del naviero lo que conllevó durante semanas la paralización de sus operaciones de envío de contenedores a lo largo del mundo. Se estima que las pérdidas generadas por este ataque alcanzaron los 300 millones de dólares.
  • Planta de tratamiento de agua en Oldsmar (2021): Un grupo de atacantes consiguieron acceder a los sistemas SCADA (Supervisión, Control y Adquisición de Datos) que permitían controlar el tratamiento químico del agua de Florida y modificaron los niveles de sosa cáustica en el agua potable. Gracias a un operario que identificó el acceso no autorizado y fue capaz de detectar dicha manipulación, esto no produjo unos graves efectos adversos en la población.

Estos son solo algunos de los ejemplos que sí han salido a la luz en los medios de comunicación, pero hay muchos otros de los que jamás tendremos constancia de ellos.

Cómo evitar o mitigar las consecuencias de un ciberataque industrial

Para minimizar los riesgos de sufrir un ciberataque en un entorno industrial se debe minimizar la visibilidad de la red para disminuir la superficie de ataque, aumentar la formación al personal para evitar ataques de ingeniería social, generar nuevos procedimientos y políticas de ciberseguridad y desplegar las tecnologías apropiadas al entorno para prevenir o mitigar los efectos que se pudieran producir.

Uno de los aspectos clave es la monitorización de las redes industriales utilizando herramientas dedicadas y especializadas en los protocolos de comunicaciones OT que analizan comportamientos anómalos una vez han aprendido el comportamiento normal o base de la red, como por ejemplo las sondas de Nozomi Networks.

Visualización de la red a través de una herramienta de monitorización industrial. Fuente: Nozomi Networks.

Además de generar alertas cuando encuentre una acción maliciosa, estas herramientas también proporcionan una gran visibilidad de la red industrial ya que permiten obtener un inventario de los dispositivos conectados, lo cual puede ayudar a las empresas a descubrir equipos que no tuvieran identificados y que podrían ser una puerta de entrada a futuros ciberdelincuentes.

Ahora bien, ¿qué se debe hacer con toda la información obtenida por estas sondas de monitorización industrial? Una de las opciones puede pasar por integrarlas con un SIEM (Security Information and Event Management), de tal manera que todas las alertas sean agregadas en el mismo lugar y se puedan correlar entre sí.

Los procedimientos de respuesta ante incidentes requiere personal dedicado y especializado.

Además, es necesario establecer un procedimiento de respuesta ante incidentes de ciberseguridad que determine qué acciones tomar según la tipología, severidad y la localización de cada una de las alertas. Pero todo ello no se podrá llevar a cabo si no se cuenta con personal dedicado y especializado en estas tareas de monitorización y de respuesta ante incidentes industriales.

La importancia de la ciberseguridad en entornos industriales

Los riesgos de ciberseguridad industrial siguen creciendo con el paso del tiempo, ya que las redes industriales cada vez están más conectadas y expuestas a las redes IT o incluso Internet, además de que el número de amenazas crece de manera exponencial.

Las ciberamenazas pueden tener gran impacto para la reputación personal y corporativa (pérdida de confianza del cliente), las operaciones financieras (multas por incumplimiento normativo) y de negocio (paradas no programadas de la producción), además de posibles responsabilidades jurídicas (consecuencias legales por no conformidad con leyes y normas de seguridad física y medioambiental).

Es por ello por lo que es crucial aplicar medidas de ciberseguridad en los entornos industriales, gestionarlas y mejorarlas para mantener y aumentar su eficacia frente a cualquier ciberataque.

Imagen principal: Umit Yildirim / Unsplash