Nuestra red OT: el próximo objetivo de los ciberdelincuentes

La cosa pinta mal. Sé que no es manera de empezar un artículo, pero cuanto antes nos hagamos a la idea, mejor. La cosa pinta mal, muy mal. El mundo está cambiando muy rápido, y evoluciona a más velocidad que nuestra capacidad para adaptarnos; hablamos del ciberespacio. Lo hemos abrazado como si fuera la panacea, sin ser conscientes de los peligros a los que nos enfrentamos; nos hemos digitalizado, nos hemos aprovechado de lo bueno y hemos ignorado lo malo. Y lo malo es que hemos abierto la puerta a infinidad de riesgos de los que —en muchos casos— no somos conscientes.

De pronto nos vemos en medio de una tormenta de secuestros de datos y extorsiones, filtraciones, robos de identidad, caídas de servicio…, porque los que sí han entendido el salto al ciberespacio —donde no existe ley ni legislador— han desarrollado métodos extremadamente sofisticados para robar de forma impune, tanto a empresas como a particulares. Y cuando creemos que sabemos por dónde nos van a atacar, las amenazas apuntan hacia nuevos objetivos.

Ahora no sólo los datos y las personas están en el punto de mira. El nuevo botín son las infraestructuras de producción: las fábricas. Un campo virgen que, si bien siempre ha sido tecnológicamente puntero, sigue siendo extremadamente ingenuo en lo que se refiere a su seguridad. Y va siendo hora de que nos demos cuenta de que los ciber-sabotajes y los secuestros de infraestructuras ya están a las puertas, y que cada vez serán más frecuentes.

Y ya han empezado: en 2023 la empresa de fabricación MKS Instruments sufrió un ataque que obligó a detener sus operaciones, lo que supuso unas pérdidas de 200 millones de dólares debido a ventas retrasadas o perdidas. Honda fue víctima de un ataque en 2020 que afectó tanto a sus sistemas IT como OT provocando el cierre de varias plantas de producción en todo el mundo, interrumpiendo las líneas de producción en América del Norte, Europa y Japón. Y así, suma y sigue.

También son cada vez más complejas nuestras relaciones con proveedores y clientes, con los que entrelazamos interdependencias digitales que no siempre están suficientemente securizadas. Cuanto más intrincada sea esa cadena, más fácil será encontrar un punto débil por el que romperla y hacerse con el control de uno de nuestros clientes o proveedores (o incluso de nuestra infraestructura, a través de los que forman nuestra cadena de suministro). Así que ya no basta con preocuparnos por nuestra propia protección. Ahora también tenemos que proteger a nuestros clientes y proveedores; y garantizar que ninguno de ellos suponga una amenaza para nosotros.

El caso de SolarWinds es paradigmático. Tras sufrir un ataque en 2020, su software quedó comprometido sin que sus creadores fueran conscientes. Cuatro años más tarde seguimos teniendo noticias de ataques a clientes que usan su software, el cual ha sido utilizado como puerta de entrada clandestina.

La tipología de ataques también está evolucionando. Al ataque de beneficio inmediato (tipo ransomware, o robo de información, phishing, etcétera) debemos sumar ahora aquellos cuyo objetivo es mantenerse por debajo del radar; que buscan lo que se conoce como ‘persistencia’: tomar el control y mantenerlo en el tiempo para poder explotarlo a largo plazo.

Por si fuera poco, debemos tener en cuenta también la situación geopolítica. Los países de todo el mundo han entendido que la tecnología es un arma de guerra mucho más poderosa que un tanque o un misil y, aunque en nuestro mundo tangible contemos con la diplomacia para mantener la paz, en el ciberespacio las cosas no están tan calmadas. Imaginad la ventaja que puede darle a un gobierno el conseguir información sensible sobre los procesos productivos de determinadas industrias rivales. O incluso contar con la capacidad para interrumpirlos o manipularlos de manera silenciosa.

En definitiva, estamos trabajando en un entorno cada día más peligroso y complejo, y tenemos que empezar a tomar medidas. ¿Qué podemos hacer al respecto? Aquí van tres recomendaciones:

Lo primero: ¿en quién podemos confiar? ¿Con qué podemos sentirnos seguros? ¿Nuestros proveedores de hardware, software o servicios IT son fiables? Debemos prestar mucha atención a quiénes son nuestros aliados y qué riesgo suponen para nosotros, bien por sus debilidades (sabiendo que los ciberdelincuentes analizan con lupa las cadenas de suministro en busca de fisuras) o bien por sus implicaciones geoestratégicas.

En segundo lugar: busquemos alguien que nos ayude. Un experto en la materia: en ciberseguridad, en cumplimiento normativo, en riesgos, en procedimientos… Y elijamos bien. No podemos entenderlo todo, pero podemos tener compañeros de viaje que cubran esas carencias y que se encarguen, dentro de los límites razonables, de protegernos.

Y, por último, escuchadme bien: tenemos que espabilar. El problema es grave y va a ir a peor, volviéndose aún más complejo y peligroso. Debemos tomarnos en serio el riesgo que supone la inacción, y dejar de pensar que eso de la ciberseguridad es para los grandes, o para los gobiernos. Porque tarde o temprano todos y cada uno de nosotros vamos a ser un objetivo estratégico para alguien, si no lo somos ya.