La cuarta revolución industrial ya ha llegado. La Industria 4.0, como así se la conoce, se caracteriza por una alta digitalización de los sistemas y los procesos industriales, así como por la interconexión de los productos, las cadenas de valor y los modelos de negocio. Algunas de las principales motivaciones que hacen que se esté produciendo este cambio son una mejor integración y gestión de las cadenas de valor, tanto verticales como horizontales, lo que incrementaría la productividad de las empresas; la interconexión de productos (Internet of Things, IoT) y servicios, que aportaría una mayor competitividad a las empresas e ingresos adicionales; y la creación de nuevos modelos de negocio, con frecuencia disruptivos, basados en tecnologías digitales y hechos a medida, que supondrán un valor añadido para el cliente.

Sin embargo, no todo son buenas noticias en cuanto a digitalizar e interconectar la industria. El hecho de empezar a conectar directamente a Internet sistemas de control industrial (PLCs, brazos robot, contadores, sensores, etc.), por ejemplo, ya supone que debamos cambiar la forma en que entendíamos, hasta hace pocos días, la ciberseguridad en estos entornos. Hemos pasado de un modelo de seguridad basado en el aislamiento de los sistemas productivos y su ofuscación, a un modelo donde el perímetro a defender es cada vez más difuso.

Más dispositivos conectados, mayor superficie de ataque

Según CISCO, en 2020 el número de dispositivos conectados a Internet superará los 50 billones, pero igual que aumenta el número de dispositivos conectados a Internet, también lo hace el número de amenazas. Por lo tanto, no solo la industria se beneficiará de esta nueva revolución, sino que, lamentablemente, también lo harán los cibercriminales mediante la perpetración de ataques, ya sea intermediando en el cobro de rescates, en las extorsiones o en la venta de información en la Deep Web.

Las carencias en materia de ciberseguridad de estos nuevos entornos industriales (Industrial IoT, IIoT), y de los propios dispositivos que los conforman, hacen que estos últimos se hayan convertido en un claro objetivo para los cibercriminales que quieren llevar a cabo ataques, como, por ejemplo, el robo masivo de datos sensibles, tanto personales como corporativos; ataques de denegación de servicio distribuidos (DDoS, de sus siglas en inglés) contra servicios de terceros en Internet; ataques de bloqueo/secuestro de dispositivos, que pueden llegar a bloquear infraestructuras críticas o de seguridad nacional/internacional, y ataques de manipulación de dispositivos que pueden tener un impacto ciberfísico y causar daños materiales en la infraestructura y a los usuarios o a la población en general.

Esto nos hace pensar que los ciberataques contra infraestructuras críticas, y contra la industria en general, irán en aumento en los próximos años. Por lo tanto, hay que desplegar mecanismos y contramedidas para proteger estos sistemas desde ya.

¿Qué ha sucedido en los últimos años?

En los últimos años se han detectado multitud de ciberataques a industrias e infraestructuras críticas, y lo más significativo es que detrás de la mayoría de ellos había una amenaza persistente avanzada (APT, de sus siglas en inglés) cada vez más sofisticada. Esto significa que los cibercriminales también evolucionan, han pasado de utilizar softwares maliciosos (malwares) orientados a sistemas TI, a utilizar malware modular avanzado que aprovecha vulnerabilidades en protocolos industriales.

A mediados de 2010, la empresa VirusBlokAdase descubrió el malware Stuxnet, el primer software conocido que espiaba y reprogramaba sistemas industriales. Se cree que su misión era desactivar centrales nucleares iraníes y su infección se produjo mediante memorias USB montadas en sistemas operativos Windows. Una vez el malware estaba dentro, reprogramaba PLCs Siemens para parar turbinas de plantas nucleares. En 2011, McAfee publicó la operación Night Dragon, un ciberataque que desde mediados de 2006 estuvo espiando y sustrayendo información confidencial de importantes compañías petroquímicas, de gas y de petróleo. En septiembre de 2011 se descubrió Duqu, un malware muy parecido a Stuxnet; de hecho, se cree que sus creadores pueden ser los mismos. En este caso, la infección se producía mediante un documento ofimático enviado en un correo electrónico y obtenía información de los sistemas SCADA, robaba credenciales, claves de certificados digitales, etc.

En 2012 se descubrió Flame, un malware muy complejo que se utilizaba con propósitos de espionaje (activaba la cámara, el micrófono, se autopropagaba, etc.). Su infección podía venir del uso de memorias USB o por spear-phising. En 2013 se descubrió Havex, utilizado para espiar compañías energéticas, de aviación, farmacéuticas, petroquímicas o de defensa de los Estados Unidos y Europa, valiéndose del protocolo OPC, utilizado para el control y supervisión de procesos industriales.

En 2015 se detectaron dos ataques muy sofisticados, BlackEnergy e Industroyer. En ambos casos, el objetivo eran principalmente compañías eléctricas. BlackEnergy realizaba un ataque de denegación de servicio y proporcionaba al atacante una puerta de entrada al sistema infectado. En el caso de Industroyer, fue diseñado para destruir los sistemas industriales infectados. Ya en 2017, se detectó el malware Triton, que fue creado para interactuar con los controladores TriconexSafety Instrumented System (SEIS) de Schneider Electric, y poder así cambiar su comportamiento para que provocase el paro de la producción o daños mayores en la infraestructura.

El eslabón más débil

Tal y como hemos visto en algunos de los casos anteriores, independientemente de la complejidad y potencia del malware, el canal de infección ha continuado siendo el eslabón más débil de la cadena, el trabajador que interactúa con algún dispositivo de la infraestructura. Ya sea mediante la ejecución de un archivo ofimático infectado que le ha llegado en un correo electrónico o montando una memoria USB en un sistema operativo concreto, el trabajador desencadena el desastre. Lo mismo pasa en la mayoría de los casos de secuestros de datos (ransomware).

Esta situación es crítica, puesto que no solo afecta a la ciberseguridad en la industria, sino que se aplica a la ciberseguridad en general y se debe afrontar de manera transversal en toda la organización. La concienciación es fundamental y se tienen que dedicar tiempo y recursos en esta dirección, se deben realizar cursos de formación en ciberseguridad para que los trabajadores cometan el menor número de errores posibles y, por supuesto, se les tiene que dotar de herramientas para conseguirlo.

Apoyo al especialista

En la industria 4.0 el concepto de perímetro de defensa es cada día más difuso y, por eso, es muy importante que los dispositivos finales (IoT) empiecen a incorporar sistemas de protección como: el almacenamiento seguro de claves criptográficas, implementar protocolos de seguridad como TLS, o disponer de sistemas inmunes. Es muy importante que tanto los fabricantes, aplicando seguridad desde el diseño (Security-by-Design), privacidad desde el diseño (Privacy-by-Design) o desarrollo seguro, como los instaladores y administradores, mediante los protocolos y medidas de seguridad implementadas o segmentando redes, sean conscientes de lo que se juegan y actúen en consecuencia, formándose si es necesario y construyendo una arquitectura segura.

Por otro lado, también hay que destacar que la detección de ciertos ataques es muy complicada para los especialistas en ciberseguridad, puesto que en muchos casos los atacantes utilizan nuevos vectores de entrada y/o mecanismos que los sistemas de defensa no detectan (defensa pasiva). Pero más allá de tener el conocimiento necesario para detectar un APT en su infraestructura, el especialista necesita de nuevas herramientas para combatir estos ataques, como puede ser la Inteligencia Artificial.

Hoy en día, compartir información de amenazas, vulnerabilidades o ataques e interpretarla adecuadamente es fundamental para afrontar los retos de ciberseguridad que tenemos planteados y los que están por venir. Esta información permitiría hacer una buena defensa activa, es decir, realizar acciones destinadas a identificar amenazas y ataques dentro de la infraestructura y tomar medidas determinadas en estos casos.

 Dr. Juan Caubet
Director de la Unidad Tecnológica IT Security del centro tecnológico Eurecat