La importancia de la ciberseguridad en la Industria 4.0

Sin embargo, no todo son buenas noticias en cuanto a digitalizar e interconectar la industria. El hecho de empezar a conectar directamente a Internet sistemas de control industrial (PLCs, brazos robot, contadores, sensores, etc.), por ejemplo, ya hace que debamos cambiar la forma en la que entendíamos hasta hace pocos días la ciberseguridad en estos entornos. Hemos pasado de un modelo de seguridad basado en el aislamiento de los sistemas productivos y su ofuscación, a un modelo donde el perímetro a defender es cada vez más difuso.

Según Cisco, en el año 2020 el número de dispositivos conectados a Internet superará los 50 billones, pero así como crece el número de dispositivos conectados a Internet, también lo hace el número de amenazas. Por lo tanto, no sólo la industria se va a beneficiar de esta nueva revolución, sino que, lamentablemente, también lo van a hacer los cibercriminales mediante la perpetración de ataques, ya sea mediante el cobro de rescates, de las extorsiones o la venta de información en la Deep Web.

Las carencias en materia de ciberseguridad de estos nuevos entornos industriales (Industrial IoT, IIoT), y de los propios dispositivos que los conforman, hacen que estos últimos se hayan convertido en un claro objetivo para los cibercriminales que quieren llevar a cabo ataques, como por ejemplo, el robo masivo de datos sensibles, tanto personales como corporativos; ataques de denegación de servicio distribuidos (DDoS, de sus siglas en inglés) contra servicios de terceros en Internet; ataques de bloqueo/secuestro de dispositivos, que pueden llegar a bloquear infraestructuras críticas o de seguridad nacional/internacional, y ataques de manipulación de dispositivos que pueden tener un impacto ciberfísico y causar daños materiales a la infraestructura y a los usuarios o a la población en general.

Esto nos hace pensar que los ciberataques contra infraestructuras críticas, y contra la industria en general, irán en aumento en los próximos años. Por tanto, es necesario desplegar mecanismos y contramedidas para proteger dichos sistemas desde ya.

En los últimos años se han detectado multitud de ciberataques a industrias e infraestructuras críticas, y lo más significativo es que detrás de la mayoría de ellos había una amenaza persistente avanzada (APT, de sus siglas en inglés) cada vez más sofisticada. Esto quiere decir que los cibercriminales también evolucionan, han pasado de utilizar softwares maliciosos (malware) orientado a sistemas TI a utilizar malware modular avanzado que aprovecha vulnerabilidades en protocolos industriales.

A mediados de 2010, la empresa VirusBlokAdase descubrió el malware Stuxnet, el primer software conocido que espiaba y reprogramaba sistemas industriales. Se cree que su misión era inhabilitar centrales nucleares iranís y su infección se produjo mediante memorias USB montadas por sistemas operativos Windows. Una vez el malware estaba dentro, reprogramaba PLCs Siemens para parar turbinas de plantas nucleares. En 2011, McAfee publicó la operación Night Dragon, un ciberataque que desde mediados de 2006 estuvo espiando y sustrayendo información confidencial de importantes compañías petroquímicas, de gas y de petróleo. En septiembre de 2011 se descubrió Duqu, un malware muy parecido a Stuxnet, de hecho, se piensa que sus creadores pueden ser los mismos. En este caso, la infección se producía mediante un documento ofimático enviado en un correo electrónico y obtenía información de los sistemas SCADA, robaba credenciales, claves de certificados digitales, etc. En 2012 se descubrió Flame, un malware muy complejo que se utilizaba con propósitos de espionaje (activaba la cámara, el micrófono, se autopropagaba, etc.). Su infección podía venir del uso de memorias USB o por spear-phising. En 2013 se descubrió Havex, un malware utilizado para espiar a compañías energéticas, de aviación, farmacéuticas, petroquímicas o de defensa de Estados Unidos y Europa, valiéndose del protocolo OPC, utilizado para el control y supervisión de procesos industriales. El año 2015 se detectaron dos ataques muy sofisticados, BlackEnergy e Industroyer. En los dos casos, el objetivo eran principalmente compañías eléctricas. BlackEnergy realizaba un ataque de denegación de servicio y proporcionaba una puerta de entrada al atacante al sistema infectado. En el caso de Industroyer, este fue diseñado para destruir los sistemas industriales infectados. Ya en 2017, se detectó el malware Triton, el cual fue creado para interactuar con los controladores Triconex Safety Instrumented System (SIS) de Schneider Electric, y poder así cambiar su comportamiento causando la detección de la producción o daños mayores en la infraestructura.

Tal y como hemos visto en varios de los casos anteriores, independientemente de la complejidad y potencia del malware, el canal de infección ha seguido siendo el eslabón más débil de la cadena, el trabajador que interactúa con algún dispositivo de la infraestructura. Ya sea mediante la ejecución de un archivo ofimático infectado que le ha llegado en un correo electrónico o montando una memoria USB en un sistema operativo concreto, el trabajador desencadena el desastre. Lo mismo ocurre en la mayoría de casos de secuestro de datos (ransomware).

Esta situación es crítica, ya que no sólo afecta a la ciberseguridad en la industria, sino que aplica a la ciberseguridad en general y se debe afrontar de forma transversal en toda la organización. La concienciación es fundamental y se deben dedicar tiempo y recursos a ello, se deben realizar cursos de formación en ciberseguridad para que los trabajadores cometan el menor número de errores posibles y, por supuesto, se les debe dotar de herramientas para ello.

Como ya se ha comentado anteriormente, en la Industria 4.0 el concepto de perímetro de defensa es cada día más difuso y, por ello, es muy importante que los dispositivos finales (IoT) empiecen a incorporar sistemas de protección como el almacenamiento seguro de claves criptográficas, implementar protocolos de seguridad como TLS y disponer de sistemas inmunes. Para ello, es muy importante que tanto los fabricantes, aplicando seguridad desde el diseño (Security-by-Design), privacidad desde el diseño (Privacy-by-Design) o desarrollo seguro, como los instaladores y administradores, usando los protocolos y medidas de seguridad implementadas o segmentado redes, sean conscientes de lo que se juegan y actúen en consecuencia, formándose si es necesario y construyendo una arquitectura segura.

Por otro lado, también cabe destacar que la detección de ciertos ataques se está haciendo muy complicada para los especialistas en ciberseguridad, ya que en muchos casos los atacantes utilizan vectores de entrada novedosos y/o mecanismos que los sistemas de defensa no detectan (defensa pasiva). Pero más allá de tener el conocimiento necesario para detectar un APT en su infraestructura, el especialista necesita de nuevas herramientas para combatir estos ataques, como puedes ser la Inteligencia Artificial.

A día de hoy, compartir información de amenazas, vulnerabilidades o ataques e interpretarla adecuadamente es fundamental para afrontar los retos de ciberseguridad que tenemos hoy en día y los que están por venir. Esta información permitiría realizar una buena defensa activa, es decir, realizar acciones destinadas a identificar amenazas y ataques dentro de la infraestructura y tomar medidas determinadas en estos casos.