Valoración
  • Actualmente 0 de 5 Estrellas.
Tu valoración
  • Actualmente 0 de 5 Estrellas.
  • 1
  • 2
  • 3
  • 4
  • 5
NOTICIA

INCIBE-CERT registra más de 200 avisos de vulnerabilidades en el ámbito industrial en 2019

11/02/2020
El registro es ligeramente inferior a las cifras de 2018, estando relacionados la mayor parte de los avisos con dispositivos multipropósito que son utilizados en diferentes sectores.

Con el objetivo de proporcionar a todas las empresas del sector industrial un medio donde consultar información sobre las vulnerabilidades que pueden tener sus dispositivos, INCIBE-CERT publica desde hace cuatro años las cifras relacionadas con los avisos que reciben en Sistemas de Control Industrial y el mundo del Internet de las Cosas en entornos industriales (IIoT). En esta ocasión, el organismo ha hecho públicas las correspondientes a 2019, según las cuales se registraron 207 avisos, una mínima reducción frente a los 228 de 2018, que abarcan desde dispositivos del mundo IoT a otros más tradicionales del ámbito industrial. Eso sí, es importante aclarar que en algunas ocasiones un mismo aviso posee varias vulnerabilidades. Precisamente, según INCIBE-CERT, esta puede ser una de las razones por las que la cantidad de avisos publicados en 2019 se ve ligeramente reducida frente a los de 2018.

Clasificación por sectores

Respecto a los sectores implicados, el año pasado se produjeron avisos que han afectado a casi todos los sectores estratégicos definidos en la Ley de Protección de Infraestructuras Críticas (Ley 8/2011). Como sucede en ejercicios anteriores, la mayor parte de los avisos se relacionan con dispositivos multipropósito que son utilizados en diferentes sectores. Esto significa que un único aviso, además de contener diferentes vulnerabilidades, puede afectar a distintos sectores. De todos ellos, los productos (dispositivos y aplicaciones) correspondientes al sector que INCIBE-CERT denomina “Otra industria” han sido los más afectados por los avisos prácticamente durante todos los meses del año.

Eso sí, este organismo hace una salvedad. Y es que, los sectores que aglutinan más avisos no quiere decir que sean los más inseguros. Este hecho se debe, entre otros factores, a la cantidad de dispositivos, fabricantes y procesos que se utilizan de forma más cotidiana en cada sector. Por ejemplo, el de energía es el más afectado por los avisos, ya que, prácticamente, todos los procesos implicados en él son utilizados de forma constante y, en muchas ocasiones, otros sectores se apoyan en él para lograr dar servicio.

Naturaleza de los avisos

Por otro lado, INCIBE-CERT realiza una catalogación de las vulnerabilidades según la lista CWE (Common Weakness Enumeration). A partir de ahí, establece que, entre los tipos de vulnerabilidades más reportadas, se encuentran: el desbordamiento de búfer, la gestión de parámetros de forma incorrecta, el control de accesos incorrecto o el Cross-Site Scripting (XSS). Todas ellas advierten de la necesidad que se tiene en el mercado por seguir las guías de buenas prácticas a la hora de desarrollar software industrial para evitar accesos maliciosos al búfer o una incorrecta validación de los parámetros de entrada. Además, gran parte de estas vulnerabilidades son heredadas del mundo TI, por lo que, en algunas ocasiones, es posible revisar ejemplos de desarrollo para evitar caer en los mismos errores.

Otro de los puntos destacados sobre la naturaleza de las vulnerabilidades en 2019 es la explotación de vulnerabilidades relacionadas con los servicios web. Actualmente, gran parte de los dispositivos que se encuentran desplegados en redes industriales ya poseen un servidor web. Mediante el uso de una interfaz web más amigable para el operador, estos servidores permiten ejecutar acciones que pueden ser importantes para el buen desarrollo del proceso en el que el dispositivo esté involucrado.

Clasificación por criticidad

Finalmente, el organismo clasifica los avisos según su criticidad, siendo gran parte de ellos de una criticidad alta o crítica. Por este motivo, INCIBE-CERT insiste en la necesidad de reforzar la protección de los sistemas de control, pues las vulnerabilidades que se reportan en ellos pueden suponer un gran trastorno para la empresa y graves consecuencias en el proceso productivo.

Conclusión

Finalmente, este organismo concluye su análisis enumerando los retos que tiene ante sí el sector industrial en el ámbito de la seguridad. En primer lugar, cita la gestión de dispositivos IIoT con plataformas que utilizan en su gran mayoría tecnología cloud. En segundo término, la mejora de las comunicaciones industriales, ya sea mediante nuevas especificaciones o gracias al uso de dispositivos añadidos a la red, y que se empiece a intercambiar información bajo canales cifrados de forma generalizada. Seguidamente, pone énfasis en las diferentes amenazas emergentes, que cada vez son más complejas de detectar y analizar. Por último, y con respecto a los avisos, señala que todo debería seguir el mismo camino con un crecimiento de las vulnerabilidades detectadas, criticidades que no variarán mucho y grandes fabricantes industriales a los que se asociarán la mayor cantidad de avisos publicados.

Volver

Newsletter

¿Quieres estar informado? Ya puedes suscribirte GRATIS a nuestra newsletter mensual