La ciberseguridad de las instalaciones industriales sigue siendo un problema que puede tener consecuencias muy graves que afecten a los procesos industriales, así como a pérdidas en las empresas. Al analizar el panorama de amenazas en diferentes industrias, Kaspersky Lab ICS CERT registró que casi todas las industrias experimentan ataques cibernéticos regularmente en sus computadoras ICS.
Sin embargo, dos industrias fueron atacadas más que otras: las organizaciones de energía (38.7 por ciento) y las empresas de ingeniería e integración de ICS (35.3 por ciento). El sector que demostró el crecimiento más notable de computadoras ICS atacadas durante el segundo semestre de 2017 (en comparación con el primer semestre de ese año) fue el de construcción, con 31.1 por ciento. Para todas las demás industrias en cuestión (fabricación, transporte, servicios públicos, alimentos, atención médica, entre otras.), la proporción de computadoras atacadas varió entre 26 por ciento a 30 por ciento en promedio.
Según los expertos, el sector de energía fue una de las primeras industrias que comenzó a utilizar diversas soluciones de automatización y ahora es uno de los más computarizados. Incidentes de seguridad cibernética, así como ataques dirigidos en los últimos dos años, junto con iniciativas regulatorias, justifican que las compañías de electricidad y energía adopten productos y medidas de ciberseguridad para sus sistemas de tecnología operativa (OT, por sus siglas en inglés).
Además, la red eléctrica moderna es uno de los sistemas más extensos de objetos industriales interconectados, con una gran cantidad de computadoras conectadas a la red y un grado relativamente alto de exposición a amenazas cibernéticas, como lo demuestran las estadísticas de Kaspersky Lab ICS CERT. A su vez, el alto porcentaje de computadoras ICS atacadas en empresas de ingeniería e integración de control industrial es otro problema serio dado el hecho de que el vector de ataque de la cadena de suministro se ha utilizado en algunos ataques devastadores en los últimos años.
El porcentaje relativamente alto de computadoras ICS atacadas en la industria de la construcción en comparación con el primer trimestre de 2017, podría indicar que estas organizaciones no están lo suficientemente maduras para prestar la atención requerida a la protección de las computadoras industriales. Sus sistemas de automatización computarizados pueden ser relativamente nuevos y todavía no se ha desarrollado una cultura industrial de ciberseguridad en estas organizaciones.
El porcentaje más bajo de ataques ICS se ha encontrado en empresas que se especializan en el desarrollo de software ICS: 14.7 por ciento, lo que significa que sus laboratorios de investigación/desarrollo ICS, plataformas de prueba, demostraciones y entornos de capacitación también han sido atacados por software malicioso, aunque no tan a menudo como las computadoras ICS de las empresas industriales. Los expertos de Kaspersky Lab ICS CERT señalan la importancia de la seguridad de los proveedores de ICS, porque las consecuencias de un ataque que se propague por el ecosistema de socios y la base de clientes del proveedor podrían ser catastrófico, como se vio, por ejemplo, durante la epidemia del malware exPetr.
Entre las nuevas tendencias de 2017, los investigadores de Kaspersky Lab ICS CERT han descubierto un aumento en los ataques de minería de datos en ICS. Esta tendencia comenzó en septiembre, junto con un aumento en el mercado de criptomonedas y la extracción de datos en general. Pero en el caso de las empresas industriales, este tipo de ciberataque puede representar una mayor amenaza al crear una carga significativa en las computadoras y, como resultado, afectar negativamente el funcionamiento de los componentes ICS de la empresa y amenazar su estabilidad. En general, durante el período comprendido entre febrero de 2017 y enero de 2018, los programas de extracción de datos de criptomonedas atacaron 3.3 por ciento de las computadoras del sistema de automatización industrial, en la mayoría de los casos de forma accidental.
Otros aspectos destacados del informe incluyen:
- Los productos de Kaspersky Lab bloquearon el intento de infección en 37.8 por ciento de las computadoras ICS protegidas por ellos. Esto resulta en 1.4 puntos porcentuales menos que en la segunda mitad de 2016.
- El internet sigue siendo la principal fuente de infección con 22.7 por ciento de computadoras ICS atacadas. Esto resulta en 2.3 por ciento más alto que en los primeros seis meses del año. El porcentaje de ataques transmitidos vía web y bloqueados en Europa y Estados Unidos es sustancialmente menor que en otros lugares.
- Los cinco países con mayor porcentaje de computadoras ICS atacadas se han mantenido sin cambios desde el primer semestre de 2017 e incluyen Vietnam (69.6 por ciento), Argelia (66.2 por ciento), Marruecos (60.4 por ciento), Indonesia (60.1 por ciento) y China (59.5 por ciento).
- En la segunda mitad de 2017, la cantidad de modificaciones de malware detectadas por las soluciones de Kaspersky Lab instaladas en los sistemas de automatización industrial aumentó de 18,000 a más de 18,900.
- En 2017, 10.8 por ciento de todos los sistemas ICS fueron atacados por agentes de botnets, un malware que secretamente infecta máquinas y las incluye en una red de bots para la ejecución de órdenes a distancia; las principales fuentes de ataques como este fueron el Internet, dispositivos extraíbles y mensajes de correo electrónico.
- En 2017, Kaspersky Lab ICS CERT identificó 63 vulnerabilidades en sistemas industriales y sistemas IIoT/IoT, y 26 de ellos han sido reparados por los proveedores.
"Los resultados de nuestra investigación sobre computadoras ICS atacadas en diversas industrias nos han sorprendido. Por ejemplo, el alto porcentaje de computadoras ICS que recibieron ataques en compañías de electricidad y energía demostró que el esfuerzo de las empresas para garantizar la seguridad cibernética de sus sistemas de automatización después de algunos incidentes graves no es suficiente, y existen múltiples lagunas que los ciberdelincuentes pueden usar", dijo Evgeny Goncharov, Director de Kaspersky Lab ICS CERT.
"En general, en comparación con 2016, hemos visto un ligero descenso en el número de ataques ICS. Esto probablemente indica que, las empresas han comenzado a prestar más atención a los problemas de seguridad cibernética de ICS, y están auditando los segmentos industriales de sus redes, capacitando a los empleados, entre otras medidas. Es una buena señal, porque es muy importante que las empresas tomen medidas proactivas para evitar combatir en el futuro", agrega Goncharov.
Kaspersky Lab ICS CERT recomienda que se tomen las siguientes medidas técnicas:
- Actualice regularmente los sistemas operativos, el software de aplicación y las soluciones de seguridad en los sistemas que forman parte de la red industrial de la empresa.
- Restringir el tráfico de red en los puertos y protocolos utilizados en los enrutadores periféricos y dentro de las redes OT de la organización.
- Inspeccione el control de acceso al componente ICS en la red industrial de la empresa y en sus límites.
- Implemente soluciones dedicadas de protección final en servidores ICS, estaciones de trabajo y HMI para proteger la infraestructura de OT e industrial contra ataques cibernéticos aleatorios.
- Implemente soluciones de control, análisis y detección de tráfico de la red para una mejor protección contra ataques dirigidos.