Las preocupaciones sobre ciberseguridad de OT están aumentando en todo el mundo

Las preocupaciones sobre ciberseguridad de OT están aumentando en todo el mundo

2021 fue el año que marcó un gran ataque cibernético contra una organización de infraestructura nacional crítica cuyo impacto fue sentido por millones de estadounidenses en la costa este. Sin embargo, el ataque contra la Colonial Pipeline Company no fue el único incidente que afectó los sistemas de Tecnología Operacional (OT) de un sector crítico para la economía nacional estadounidense. En respuesta a un número creciente de ataques, el presidente Biden firmó una Orden Ejecutiva en mayo de 2021 con el objetivo de fortalecer la ciberseguridad del gobierno de EE. UU. y la infraestructura crítica.

El mismo nivel de preocupación también se comparte en muchos países desarrollados del mundo. La digitalización de los sistemas OT críticos y la conexión a Internet de los Sistemas de Control Industrial (ICS) anteriormente aislados ha traído infinitas posibilidades, así como riesgos. Debido a la convergencia TI-OT, las amenazas que se originan en el entorno de TI se están extendiendo al dominio de OT, lo que perjudica la seguridad y la confiabilidad de los procesos críticos. Dado que estos procesos de OT afectan el mundo físico, tales interrupciones pueden tener efectos dominó e incluso pueden provocar la pérdida de vidas.

Para comprender mejor la extensión del problema, sería beneficioso hacer un recorrido por el mundo y leer lo que dicen varios informes estatales de ciberseguridad sobre la ciberseguridad de OT.

Cuadro situacional común franco-alemán

La agencia francesa de ciberseguridad (ANSSI) y su homólogo alemán (BSI) han estado emitiendo durante los últimos años informes situacionales comunes para promover el intercambio de inteligencia sobre amenazas. En la tercera edición del informe en 2020, las dos agencias señalan lo siguiente:

La digitalización de los procesos productivos que sustentan la actividad central de una entidad, a través de la conexión de tecnología operativa (OT), conllevará riesgos para el futuro próximo. Esos sistemas OT suelen tener un ciclo de vida largo y son caros. Por lo tanto, no se modifican ni actualizan periódicamente. Por lo tanto, ANSSI y BSI deben asumir que la mayoría de los sistemas OT que funcionan actualmente se instalaron en un momento en que la seguridad de TI no se reconocía como un factor vital para la operación de los sistemas OT.

En la edición de 2021, ANSSI y BSI continúan destacando que “Al principio, el ransomware se usaba ampliamente contra usuarios individuales con demandas de rescate relativamente bajas. Con el tiempo, particularmente en los últimos años, el ransomware se convirtió en una gran amenaza para las redes de grandes organizaciones en los llamados ataques Big Game Hunting (BGH)”.

Los grupos de ciberdelincuentes ahora se centran en empresas e instituciones cuya interrupción comercial puede tener importantes consecuencias económicas, industriales o sociales. Los objetivos incluyen gobiernos locales, el sector educativo, hospitales y proveedores de servicios digitales. Todas estas instituciones están cubiertas por la Directiva NIS de la UE que establece requisitos estrictos sobre la seguridad de la infraestructura crítica en Europa.

Evaluación de amenazas de la delincuencia organizada en Internet de Europol 2021

Las mismas tendencias se destacan en el informe de bandera de Europol, IOTA 2021. La agencia de aplicación de la ley de Europa señaló que “los informes de ransomware habían aumentado durante el período del informe. Las tendencias de centrarse en grandes corporaciones e instituciones públicas, utilizar vulnerabilidades en la cadena de suministro digital y la extorsión de múltiples capas es una indicación de la mayor sofisticación y maduración de los programas afiliados de ransomware involucrados”.

La agencia también explica la tendencia de que las pandillas de ransomware persigan a los «peces gordos» y que el ransomware distribuido en masa que involucra tácticas de rociar y rezar esté en declive.

Los perpetradores se están moviendo hacia el ransomware operado por humanos dirigido a empresas privadas, los sectores de la salud y la educación, la infraestructura crítica y las instituciones gubernamentales. El cambio en el paradigma de ataque indica que los operadores de ransomware eligen sus objetivos en función de su capacidad financiera para cumplir con demandas de rescate más altas y su necesidad de poder reanudar sus operaciones lo más rápido posible.

Evaluación Nacional de Amenazas Cibernéticas de Canadá

En 2020, el Centro Canadiense para la Seguridad Cibernética lanzó su primer Evaluación Nacional de Amenazas Cibernéticas donde evaluó que la seguridad física de los canadienses está en riesgo debido a los crecientes ataques de OT contra la infraestructura crítica de la nación.

El informe afirma: “Desde enero de 2019, al menos siete variantes de ransomware han contenido instrucciones para terminar SCI procesos. El impacto de estos ataques en ICS varía según las circunstancias específicas del proceso industrial y la reacción del personal del sitio. En junio de 2020, un fabricante de automóviles detuvo la producción en la mayoría de sus plantas de América del Norte, incluida una en Canadá, «para garantizar la seguridad» después de que muy probablemente se vio afectado por una de estas variantes de ransomware».

La agencia canadiense de ciberseguridad también escribe que los agentes de ransomware se dedican a la caza mayor, enfocando sus actividades en instituciones como organizaciones de infraestructura crítica “que no tolerarán interrupciones sostenidas en sus redes y están dispuestas a pagar grandes rescates para restaurar rápidamente sus operaciones”.

Un año más tarde, la agencia publicó un boletín donde razonó que «los ciberdelincuentes casi con certeza están mejorando sus capacidades y es muy probable que intenten apuntar a organizaciones canadienses de alto valor con grandes activos de OT, incluidos los de CI, en busca de pagos de rescate más grandes y datos valiosos».

CISA, FBI y NSA emiten un aviso conjunto sobre ciberseguridad

A principios de 2022, CISA, FBI y NSA publicaron un aviso de seguridad cibernética conjunto en el que pedían a todas las organizaciones de infraestructura crítica de EE. UU. que prestaran especial atención a los riesgos que plantean las operaciones cibernéticas patrocinadas por el estado ruso. Según el aviso, «las operaciones cibernéticas patrocinadas por el estado ruso contra organizaciones de infraestructura crítica se han dirigido específicamente a redes de tecnología operativa (OT)/sistemas de control industrial (ICS) con malware destructivo».

El aviso proporciona un extenso inventario de las tácticas y técnicas empleadas por estos actores patrocinados por el estado ruso. Finalmente, las tres agencias alientan a todas las organizaciones de infraestructura crítica a implementar ciertas recomendaciones para mitigar la amenaza. Estas recomendaciones incluyen:

  • Estar preparado confirmando los procesos de informes y revisando los planes de respuesta a incidentes.
  • Mejorar la postura de seguridad de uno mediante la implementación de las mejores prácticas para la administración de identidades y accesos, controles y arquitectura de protección, y administración de vulnerabilidades y configuraciones.
  • Aumento de la vigilancia.

Las organizaciones de infraestructura crítica pueden proteger sus sistemas OT centrándose en los fundamentos de seguridad. Pueden lograrlo invirtiendo en una solución de seguridad que les permite descubrir y perfilar todos sus activos industriales, monitorear el estado de su red y sistemas, fortalecer esos activos contra las interrupciones de la planta y realizar evaluaciones granulares de vulnerabilidad para medir su ciberseguridad OT en un de forma continua.

Publicaciones Similares