redseguridad 076

se hallan visibles e incluso accesi- bles desde Internet. La mayoría de estos sistemas no tienen una relación directa con aquellos que se encar- gan de gestionar las infraestructuras críticas, pero pueden ser una puerta de entrada para que un atacan- te obtenga información confidencial que le permita elaborar un ataque más sofisticado en el futuro. Un ciberdelincuente que esté pre- parando un ataque a una de estas infraestructuras críticas podría bus- car información relacionada con alguno de los controladores lógicos programables (PLC, por sus siglas en inglés) de ciertos fabricantes conoci- dos, tales como Siemens, RockWell o Schneider Electrics, por poner solo unos ejemplos. A partir de ahí podría intentar acceder a los dispositivos de este tipo que estén conectados a Internet probando, por ejemplo, algu- na de las contraseñas por defecto que estos PLC suelen tener imple- mentadas y que, en algunos casos, no pueden ser cambiadas. Son precisamente estos disposi- tivos conectados a Internet los que más se han de vigilar, puesto que pueden proporcionar acceso a un atacante a ciertos sistemas de con- trol que no deberían ser manipulados alegremente. Además, aunque un atacante no consiga tomar el con- trol de estos sistemas, podría obte- ner información valiosa para intentar otros vectores de ataque. Muchas veces, estos dispositivos tienen conexión a Internet para facilitar su gestión remota, pero... se descuida su seguridad. Ésto es algo que se debe revisar a conciencia, puesto que si el riesgo es mucho mayor a los beneficios nunca deberíamos conec- tarlos a una red pública. ¿Su seguridad es la adecuada? Contestar a esta pregunta, al menos de forma categórica, es difícil a día de hoy. Sabemos que la ciberseguri- dad de las infraestructuras críticas, al menos en España, está vigilada por un organismo público, y eso es algo a nuestro favor. No obstante, tampoco conocemos toda la información o técnicas (aunque sí un buen número de ellas) que pueden utilizar los ciber- delincuentes, por lo que nunca pode- mos estar seguros al cien por cien. También hemos de ser conscien- tes de que la catalogación de infra- estructuras críticas abarca tantas empresas, de sectores diferentes, que no se puede generalizar; no es lo mismo la seguridad que pueda aplicarse a una estación de televisión que a una central nuclear. Lo que sí se puede mejorar es la protección frente a aquellos ataques conocidos, que pueden ser evita- dos adoptando una serie de buenas prácticas como las que indicamos a continuación: - La formación de los usuarios de estos sistemas debe ser continua y actualizada. No podemos permitir que, en pleno 2017, un usuario des- prevenido abra un fichero malicioso sin revisar siquiera si el remitente es de confianza o si el archivo había sido solicitado. - Auditar los sistemas en busca de vulnerabilidades, especialmente aquellos que tengan agujeros de seguridad conocidos desde hace tiempo. También es recomendable contactar periódicamente con el fabricante de los dispositivos más críticos para comprobar si existen actualizaciones de seguridad. - Las redes utilizadas para con- trolar estas infraestructuras deben estar lo suficientemente vigiladas y, en aquellos casos que lo requieran, aisladas del exterior. De esta forma se podrían detectar ataques desde el exterior y se impediría que se acce- diese a sistemas controlados desde una red interna. - El control de medios extraíbles es esencial en una infraestructura crítica, y no solo porque haya sido el vector de ataque usado en casos como Stuxnet. A la hora de proteger una infraestructura crítica, tan crítico es evitar que un pendrive con código malicioso se cuele en la red interna como que sea utilizado para sustraer información confidencial. Conclusión Los responsables de las infraestructu- ras críticas tienen ante sí un importan- te desafío a la hora de protegerse de ciberataques presentes y futuros. No obstante, tampoco hay que caer en el alarmismo innecesario, puesto que se están haciendo progresos a la hora de proteger dichas infraestructuras. Gobiernos y empresas son conscien- tes de los riesgos a los que se enfren- tan y están tomando medidas para protegerse. Ahora falta que se invier- tan los recursos necesarios y que se piense proactivamente, no solo cuan- do ya se ha producido el incidente. Los dispositivos conectados a Internet son los que más se han de vigilar; pueden proporcionar acceso a un atacante a ciertos sistemas que no deberían ser manipulados. A rtículo ciberseguridad industrial monográfico especial red seguridad primer trimestre 2017 51