Ciberataques dirigidos a infraestructuras críticas

Las instalaciones de infraestructuras críticas, ya sean centrales eléctricas, los ferrocarriles nacionales y los sistemas subterráneos locales u otras formas de transporte público, son cada vez más un objetivo. Los ciberataques podrían cortar el suministro de electricidad en hospitales, hogares, escuelas y fábricas. Dependemos tanto del suministro eficiente de electricidad que la falta de suministro también tendría importantes implicaciones para otros servicios vitales. Una serie de incidentes en los últimos años demuestra no solo que la amenaza es tangible, sino también que en más de una ocasión nos hemos librado por los pelos de sufrir las terribles consecuencias.

Los siguientes tres ejemplos ilustran la evolución de las armas cibernéticas, incluidos los programas maliciosos diseñados para interrumpir el funcionamiento de la infraestructura crítica. Si bien el uso cada vez mayor de sensores en red y otros dispositivos conectados en el entorno industrial ha aportado beneficios en términos de eficiencia, también ha aumentado la superficie de ataque.

El ataque en 2010 a la planta nuclear de Natanz, en Irán, ocupa un lugar destacado en los libros de historia. El software malicioso llamado Stuxnet hizo entonces su primera aparición pública, y logró detener la planta nuclear. El gusano Stuxnet fue diseñado para dañar los motores que se usan comúnmente en las centrifugadoras para enriquecer uranio puesto que les hizo perder el control. Logró deshabilitar temporalmente 1.000 centrifugadoras.

Cinco años después, en diciembre de 2015, Ucrania experimentó un asalto sin precedentes en su red eléctrica. El ataque causó cortes de electricidad generalizados. Los hackers se infiltraron en tres compañías energéticas y cerraron temporalmente la generación de energía en tres regiones de Ucrania. Dejó a casi un cuarto de millón de personas sin electricidad hasta seis horas en pleno invierno. Los atacantes utilizaron el programa malicioso BlackEnergy 3 para cerrar las tres subestaciones. Se cree que el programa malicioso se distribuyó mediante correos electrónicos de phishing personalizado, oculto en los archivos adjuntos falsos de Microsoft Office.

El tercer y más alarmante ataque que conocemos tuvo lugar en 2017. Los ciberterroristas asumieron el control remoto de una estación de trabajo ampliamente conocida que estaba en Arabia Saudita. Utilizaron un nuevo tipo de programa malicioso, llamado Triton, para tomar el control del sistema de seguridad instrumentado (SIS por sus siglas en inglés). Nuevamente, el programa malicioso se configuró específicamente para sistemas de control industrial, también conocidos como tecnología operativa (TO).

Los investigadores creen que fue un acto de sabotaje destinado a desencadenar una explosión mediante la deshabilitación de los sistemas de seguridad diseñados para prevenir accidentes industriales catastróficos. Los ataques anteriores se habían centrado en destruir datos o apagar plantas energéticas. Según algunos informes, solo un error de codificación impidió que esto sucediera. Las pruebas apuntan a otro ataque de phishing o phishing personalizado.

Lo que nos muestran estos incidentes es que, al menos durante la última década, los hackers han estado creando un código malicioso que apunta a la tecnología operativa. El hecho de que los tres fueran activados por programas maliciosos también ilustra la necesidad de adoptar un enfoque integral de la ciberseguridad que incorpore los procesos, la tecnología y las personas.

El director general del centro de investigación de ciberseguridad Security in Depth, Michael Connory, recientemente dijo a la Corporación Australiana de Radiodifusión (ABC) que “el 90 % de los ciberataques en todo el mundo comienzan con un correo electrónico”. Es axiomático que la seguridad solo pueda ser tan fuerte como el eslabón más débil de la cadena.

El otro tema clave es la importancia de comprender la diferencia entre TI y TO. La tecnología operativa es cada vez más accesible, y los vectores de amenaza se extienden ahora hacia los activos de nivel básico, como los termostatos inteligentes. El desafío es que los programas de ciberseguridad están guiados con demasiada frecuencia por un enfoque de TI. En realidad, las restricciones operativas en sectores industriales como la energía, pero también en muchos otros, incluidos la fabricación, la asistencia sanitaria y el transporte, significan que se necesita un enfoque de la ciberseguridad que también proteja la TO.

La TI se centra en la información y su capacidad de fluir de forma libre y segura. Existe en el mundo virtual, donde los datos se almacenan, recuperan, transmiten y manipulan. La TI es fluida, tiene muchas partes móviles y entradas, lo que la hace altamente vulnerable. Además, ofrece una gran superficie a una amplia variedad de ataques que evolucionan constantemente. La defensa contra los ataques consiste en proteger cada capa, identificar y corregir continuamente las debilidades para que los datos sigan fluyendo.

La TO, por el contrario, pertenece al mundo físico, donde garantiza la ejecución correcta de todas las acciones. Si bien la TI debe proteger todas las capas del sistema, la TO debe mantener el control de los sistemas que pueden estar encendidos o apagados, cerrados o abiertos. Los sistemas de TO están diseñados para acciones específicas, como asegurar que un generador esté encendido o apagado, o que una válvula de descarga esté abierta cuando un tanque de productos químicos esté lleno. La TO pertenece al mundo físico y se trata de garantizar la seguridad y el control de lo que en el pasado solían ser sistemas cerrados. Todo en la TO está orientado a mover y controlar físicamente los dispositivos y procesos para que los sistemas funcionen según lo previsto, con un enfoque principal en la seguridad y una mayor eficiencia.

Con la aparición de internet industrial de las cosas (IIoT) y la integración de máquinas físicas con sensores y programas en red, las líneas entre la TI y la TO se están difuminando. A medida que cada vez más objetos están conectados, se comunican e interactúan entre sí, aumenta el número de puntos finales y las posibles formas en que los ciberdelincuentes pueden acceder a las redes y los sistemas de infraestructura.

Luchar contra incendios apaga el fuego, pero no se ocupa de las causas subyacentes. Es imprescindible que las amenazas de seguridad se empiecen a tener en cuenta durante la fase inicial de diseño y desarrollo. En muchos casos, las organizaciones solo se preocupan por la seguridad después de la implementación, en lugar de desarrollar la resiliencia cibernética desde el inicio del ciclo de vida del desarrollo. El trabajo del IEC/TC 57 proporciona un buen ejemplo de la normalización de las buenas prácticas.

El IEC/TC 57 ha creado un grupo de trabajo, (WG 15), para que las redes eléctricas sean más seguras mediante el diseño. El grupo, que evalúa los requisitos desde una perspectiva tecnológica y define una forma estándar de implementarlos, ha identificado los componentes necesarios para que un sistema de energía sea seguro desde su diseño. Estos requisitos incluyen el principio de cifrado de extremo a extremo, la definición de funciones para todos los usuarios y la gestión de identidades, así como el control generalizado del sistema en sí.

“Todo lo que hagamos hoy permanecerá mañana, pero debemos cambiar nuestro enfoque”, afirma Moreno Carullo, miembro del WG 15. “Tenemos que pasar de solo buscar a los malos a la seguridad mediante el diseño”.

Actualmente, la familia de normas IEC 62351 describe la arquitectura de un sistema de energía seguro y normaliza sus protocolos y componentes. Una lectura interesante para una mejor descripción general es IEC 62351-10 Pautas de arquitectura de seguridad para sistemas TC 57.

IEC cree que un enfoque integral y basado en el riesgo es la mejor manera de desarrollar la resiliencia cibernética. Un enfoque basado en el riesgo puede ser altamente efectivo, especialmente cuando se basa en una evaluación de vulnerabilidades internas existentes o potenciales y amenazas externas identificadas o posibles. Esto funciona mejor como parte de un enfoque integral que combina normas con ensayos y certificación, también conocido como evaluación de conformidad, en lugar de tratarlos como áreas distintas.

Este enfoque aumenta la confianza de las partes interesadas al demostrar no solo el uso de medidas de seguridad basadas en las buenas prácticas, sino también que una organización ha implementado las medidas de manera eficiente y efectiva. Un enfoque en los sistemas funciona al priorizar y mitigar los riesgos a un nivel aceptable, lo que requiere un enfoque neutral que se adapte a diferentes tipos de evaluación de la conformidad, que van desde la autoevaluación hasta las pruebas independientes de terceros, en función de los diferentes niveles de riesgo.

Muchas organizaciones basan sus estrategias de ciberseguridad en el cumplimiento de las normas y regulaciones obligatorias. Esto puede conducir a una mejor seguridad, pero no puede abordar las necesidades de las organizaciones individuales de manera integral. Las defensas más robustas se basan tanto en las normas “horizontales” como “verticales”. Las normas horizontales son genéricas y flexibles, mientras que las normas verticales satisfacen necesidades muy específicas. Existen dos ejemplos de normas horizontales que destacan en especial.

La familia de Normas ISO/IEC 27000 ayuda a proteger estrictamente los sistemas de información (TI) y garantiza el libre flujo de datos en el mundo virtual. Proporciona un marco potente y horizontal para evaluar comparativamente las buenas prácticas en la implementación, el mantenimiento y la mejora continua de los controles.

IEC 62443, la otra serie de normas horizontales, está diseñada para mantener los sistemas de TO en funcionamiento en el mundo real. Se puede aplicar en cualquier entorno industrial, incluidas las instalaciones de infraestructuras críticas, como las compañías eléctricas o las centrales nucleares, así como en los sectores de la salud y el transporte. IECEE, el Sistema IEC de sistemas de evaluación de la conformidad para equipos y componentes electrotécnicos, ha creado servicios de certificación globales basados en la serie IEC 62443.

Para complementar las normas horizontales existen soluciones personalizadas diseñadas para satisfacer las necesidades de sectores específicos. Existen normas verticales que cubren las necesidades de seguridad específicas del sector nuclear, las redes de comunicaciones industriales, la automatización industrial y la industria marítima, entre otros.

El objetivo de cualquier estrategia de ciberseguridad es proteger la mayor cantidad posible de activos y, sin duda, los activos más importantes. Dado que no es factible protegerlo todo en igual medida, es importante identificar lo que es valioso y necesita una mayor protección, identificar las vulnerabilidades y, a continuación, priorizar y crear una arquitectura de defensa en profundidad que garantice la continuidad del negocio.

Lograr la resiliencia consiste en gran medida en comprender y mitigar los riesgos para aplicar la protección adecuada en los puntos apropiados del sistema. Es esencial que este proceso esté estrechamente alineado con los objetivos de la organización porque las decisiones de mitigación pueden tener una grave repercusión en las operaciones. Idealmente, debería basarse en un enfoque de sistemas que involucre a las partes interesadas de toda la organización.

Un concepto clave de la defensa en profundidad es que la seguridad requiere un conjunto de medidas coordinadas. Existen cuatro pasos imprescindibles para hacer frente al riesgo y las consecuencias de un ciberataque:

• Comprender el sistema, lo que es valioso y lo que necesita más protección.
• Comprender las amenazas conocidas a través del modelado de amenazas y la evaluación de riesgos.
• Abordar los riesgos e implementar la protección con la ayuda de normas internacionales, que se basan en las buenas prácticas globales
• Aplicar el nivel apropiado de evaluación de conformidad (ensayos y certificación) frente a los requisitos.

Otra forma de verlo es como el ABC* de la ciberseguridad:

A  es para la evaluación.

B  es para las mejores prácticas para abordar el riesgo

C  es para la evaluación de conformidad para el control y mantenimiento

* Siglas en inglés de Assessment, Best practicesy Conformity assessment

Un enfoque de sistemas basado en el riesgo aumenta la confianza de todas las partes interesadas al demostrar no solo el uso de medidas de seguridad basadas en las buenas prácticas, sino también que una organización ha implementado las medidas de manera eficiente y efectiva. Esto significa combinar las normas correctas con el nivel correcto de evaluación de conformidad, en lugar de tratarlos como áreas distintas.

El objetivo de la evaluación de la conformidad es evaluar los componentes del sistema, las competencias de las personas que lo diseñan, lo operan y lo mantienen, y los procesos y procedimientos utilizados para ejecutarlo. Esto puede significar el uso de diferentes tipos de evaluación de conformidad, que van desde la autoevaluación corporativa o la confianza en las declaraciones de un proveedor hasta la evaluación y pruebas independientes de terceros, y la selección de la que sea más adecuada de acuerdo con los diferentes niveles de riesgo.

En un mundo donde las amenazas cibernéticas son cada vez más habituales, ser capaz de aplicar un conjunto específico de normas internacionales combinado con un programa de certificación específico y mundial es un enfoque comprobado y altamente efectivo para desarrollar la resiliencia cibernética a largo plazo. Sin embargo, las normas y la evaluación de conformidad solo pueden tener un impacto máximo como parte de un enfoque basado en el riesgo basado en una evaluación integral de las amenazas y las vulnerabilidades. Este enfoque incorpora no solo la tecnología y los procesos, sino también las personas, lo que reconoce la función esencial de la formación.