Jorge Pages, ingeniero preventa de Cytomic.
Jorge Pages Ingeniero preventa Cytomic

Cuando un ciberataque puede paralizar un país: seguridad en infraestructuras críticas

Ciberataques en infraestructuras críticas.

Según el Instituto Ponemon, el 90% de los operadores críticos considera que sus entornos habían sido afectados por, al menos, un ciberataque en los últimos dos años.

En el contexto en el que vivimos, las sociedades desarrolladas y altamente interconectadas dependen demasiado de una serie de servicios que se han convertido en esenciales. Cualquier interrupción de las infraestructuras que proporcionan dichos servicios, ya sea por causas naturales, técnicas o por ataques deliberados, puede llegar a tener graves consecuencias, además de suponer un riesgo para la seguridad.

Los delitos informáticos han experimentado una tendencia creciente en todo el mundo durante los últimos años. Según datos del Centro Criptológico Nacional, en 2018 se registraron en España más de 33.000 incidentes de ciberseguridad en organizaciones del sector público o de interés estratégico para el país, un 25 por ciento más que el año anterior. Y si hablamos en términos globales, un estudio independiente realizado por el Instituto Ponemon asegura que el 90 por ciento de los operadores de infraestructura crítica considera que sus entornos habían sido afectados por, al menos, un ciberataque en los últimos dos años. Incluso el 62 por ciento de ellos había experimentado dos o más.

Por todo ello, la protección de las infraestructuras críticas ha pasado a ser una preocupación de primer grado para los Estados. Garantizar la seguridad de estos servicios no es solo cuestión de la Administración pública, sino también de los operadores privados desde el ámbito nacional e internacional.

Ataques que amenazan ciudades

Aunque es posible que la mayoría de la población no tenga esta percepción, la realidad es que existen cientos de casos documentados alrededor de todo el mundo de ciberataques a infraestructuras críticas.

Por ejemplo, el primero conocido data de 1982, cuando los ciberdelincuentes instalaron un troyano en el sistema SCADA que controlaba el oleoducto siberiano y que provocó una explosión en su interior. Desde entonces, y hasta ahora, han sido decenas los casos reportados, como el ataque a la red eléctrica que vivió Ucrania a finales de 2015 y que dejó sin energía a una parte importante de su capital. El ataque más conocido, Stuxnet, se remonta a 2008, y fue fruto de una acción coordinada entre la ciberinteligencia israelí y la norteamericana para sabotear el programa nuclear iraní como parte de una ciberguerra.

Pero la mayoría de estos ataques tienen algo en común: su objetivo son las infraestructuras críticas de los entornos industriales que cimientan la actividad del país.

Entorno industrial en evolución

Hoy en día, los sistemas de control industriales gestionan sensores interconectados e inteligentes, herramientas, robots de producción y multitud de equipos y dispositivos, como alarmas y cámaras. Este tipo de conectividad facilita la recopilación, intercambio y análisis de datos, así como aprender de lo que ocurre en la infraestructura y automatizar procesos. Todo ello, con el propósito de mejorar la productividad y la eficiencia del entorno.

Esta situación supone la evolución del clásico sistema de control distribuido (DCS) a la era 4.0 del Internet de las Cosas Industrial, un momento en el que la complejidad tecnológica propicia un aumento de la superficie de ataque. Además, el interés público por los datos y las consecuencias de dichos ataques atraen a los cibercriminales.

Por ello, la cantidad y complejidad de las ciberamenazas es mayor que antaño, tanto en infraestructuras de arquitectura híbrida como en aquellas aisladas de Internet o de sistemas de control SCADA. Este aspecto, ligado a la subestimación de los ataques por una parte de la industria, está teniendo como consecuencia una falta de protección eficiente.

Según el Instituto Ponemon, el 90% de los operadores críticos considera que sus entornos habían sido afectados por, al menos, un ciberataque en los últimos dos años.

Ciberciberamenazas y ataques

Los ciberatacantes ya no centran toda su atención en el perímetro por el auge de tecnologías como las nubes públicas y de tendencias cada vez más arraigadas en la organización de las empresas como la movilidad y el BYOD. Ahora también se dirigen a los dispositivos endpoint.

Debido a las particularidades técnicas de unas infraestructuras tan vitales para el funcionamiento de los países como son las críticas, al interés que generan y a la posible exposición de los datos que gestionan, la protección de los endpoints en este tipo de redes es algo necesario.

En lo referente a los sistemas industriales, los vectores de ataque son varios. Vulnerabilidades de los sistemas de control industriales; bugs en robots y maquinaria industrial utilizada en la producción de los bienes y servicios; routers, cámaras y otros dispositivos físicos de las instalaciones desprotegidos; ataques a las bases de datos con permiso del servidor en el que residen para obtener la información sensible que manejan, además de emails y dispositivos USB que activan un exploit dentro de la red son algunos de los puntos de ataque más habituales.

Asimismo, en el contexto actual, la ciberguerra tiene un papel cada vez más protagonista. Los soldados digitales han aprovechado la pluralidad y dimensión del ciberespacio en constante evolución y cambio para librar batallas que impactan directamente en los sistemas de ciberdefensa de los gobiernos o de las infraestructuras críticas. Estos atacantes cuentan con armas de gran complejidad técnica, como aplicaciones goodware y scripts, que logran pasar desapercibidas por los métodos de control y protección. Sin embargo, muchas de ellas llegan a ser igual o más peligrosas que el arsenal explosivo de una guerra convencional al aprovechar los vectores de ataque del entorno.

Pero, ¿qué implicaciones tiene esta realidad para las organizaciones? Desde una fuga de datos que provoque importantes pérdidas económicas y reputacionales –y graves daños al cliente o consumidor final–, hasta la interrupción del negocio, pasando por la alteración de la producción o el robo de credenciales. Todas ellas igual de preocupantes y que hay que minimizar o eliminar en la medida de lo posible a través de una buena estrategia de seguridad.

Protección y soluciones

Para evitar ciberataques, las organizaciones también deben ser conscientes de que su ciberseguridad no puede basarse exclusivamente en los riesgos ya conocidos. Deben mantenerse alerta, descubrir nuevas vulnerabilidades y ciberamenazas antes que otros y protegerse de todas ellas. Por otro lado, también deberán recurrir a la automatización para detectar los comportamientos anómalos antes de que sus acciones lleguen demasiado lejos.

De cara a adoptar una actitud proactiva, es imprescindible contar con las tecnologías necesarias que permitan detectar cualquier actividad sospechosa con el tiempo suficiente para poder mitigar o eliminar el riesgo. Así, soluciones de analítica de datos y automatización como Cytomic Orion proporcionan ciberinteligencia de ciberamenazas y herramientas de automatización para la detección de comportamientos sospechosos. De esta manera permite a los equipos de seguridad, SoC, CSIRT y threat hunters acelerar el proceso de identificación, investigación, contención y resolución de ciberamenazas avanzadas, como las que sufren las infraestructuras críticas en los entornos industriales.

Cytomic Orion, junto al resto de soluciones y servicios gestionados, como los de threat hunting, se basan en una única plataforma nativa en la nube y unificada, la plataforma Cytomic, que cubre el proceso completo de protección, detección y respuesta a incidentes en el endpoint.

Se trata, pues, de que los sistemas industriales esenciales tengan una visibilidad completa de todos los procesos activos para controlar todo lo que ocurre en su entorno y poder reducir así la superficie de ataque. Cuando un ciberatacante puede poner en jaque a países enteros, cualquier protección es poca.