En 2022, Kaspersky registró un alto volumen de incidentes de ciberseguridad que representaron distintos retos para la infraestructura industrial. Tan solo en el primer semestre del año pasado, las tecnologías de la empresa bloquearon ataques de malware en más del 30% de las máquinas de Sistemas de Control Industrial Perú. Expertos de la compañía han previsto que este año el escenario seguirá siendo complicado, y advierten que las Amenazas Persistentes Avanzadas (APT, por sus siglas en inglés) se enfocarán en industrias clave como la agricultura, logística y transporte, energía, minería, desarrolladores de alta tecnología, así como de productos farmacéuticos y equipamiento médico.
Existen diversos factores que hacen que las APTs y sus actividades maliciosas en las redes de sus víctimas sean exitosas. Para ayudar a las empresas a mitigar estos riesgos y garantizar la implementación de mejores prácticas, los analistas del CERT ICS de Kaspersky han compilado una lista con los seis elementos que detectan con mayor frecuencia durante su labor de respuesta a incidentes.
- Falta de aislamiento de la red de tecnología operativa (OT)
Los expertos de la compañía han presenciado casos en los que existen problemas para separar la red de tecnología operativa y mantenerla segura. Por ejemplo, hay máquinas, como las de estaciones de trabajo de ingeniería, que están conectadas tanto a la red de TI normal como a la red de OT.
«Cuando el aislamiento de la red OT depende únicamente de la configuración de los equipos de la red, los atacantes experimentados pueden reconfigurar esos equipos para su beneficio», señala Evgeny Goncharov, jefe del Equipo de Respuesta a Emergencias Cibernéticas de Sistemas de Control Industrial en Kaspersky. “Por ejemplo, pueden convertirlos en servidores proxy para controlar el tráfico de malware o incluso utilizarlos para almacenar y enviar malware a redes que se creían aisladas. Hemos sido testigos de este tipo de actividades maliciosas en múltiples ocasiones”.
- El factor humano sigue siendo motor de las actividades cibercriminales
Cuando se da acceso a empleados o contratistas a las redes de tecnología operativa, a menudo se pasan por alto las medidas de seguridad de la información. Los programas para administración a distancia, como TeamViewer o Anydesk, configurados inicialmente de forma temporal, pueden estar activos de forma permanente, sin ser detectados, por lo que los atacantes pueden explotarlos fácilmente.
Este año, por ejemplo, Kaspersky investigó un incidente en el que un contratista intentó sabotear a una organización aprovechando el acceso remoto a la red del Sistema de Control Industrial (ICS) que se le había otorgado legítimamente varios años antes. Esto demuestra lo importante que es considerar el factor humano, ya que cualquier empleado potencialmente insatisfecho con sus evaluaciones de trabajo, ingresos o motivaciones políticas, puede verse impulsado a participar en delitos cibernéticos.
Una posible solución en situaciones como esta puede ser el Zero Trust, concepto que supone que dentro del sistema no se confía en el usuario, ni en el dispositivo o aplicación. Kaspersky extiende el enfoque de Confianza Cero hasta el nivel del Sistema Operativo con sus soluciones basadas en KasperskyOS.
- Protección insuficiente de los activos de la red de tecnología operativa
En sus análisis, los expertos de Kaspersky también han descubierto bases de datos de soluciones de seguridad desactualizadas, claves de licencia faltantes, claves eliminadas por el usuario, componentes de seguridad desactivados, así como exclusiones excesivas del análisis y la protección. Todo esto contribuye a la propagación de malware.
Por ejemplo, si las bases de datos de una empresa no están actualizadas y una solución de seguridad no puede actualizarse automáticamente, las amenazas avanzadas pueden propagarse rápida y fácilmente, como en los ataques APT, en los que actores de amenazas sofisticados evitan ser detectados.
- Configuraciones inseguras de las soluciones de seguridad
Configurar adecuadamente las soluciones de seguridad es crucial para evitar que se desactiven o sean vulneradas por los grupos de APT. Estos pueden robar información de la red de las víctimas que se almacena en estas soluciones para ingresar a otras partes del sistema, o moverse lateralmente, usando un lenguaje profesional de seguridad de la información.
En 2022, Kaspersky notó una nueva tendencia en las tácticas APT, lo que hace indispensable contar con las configuraciones adecuadas. Por ejemplo, cuando buscan moverse lateralmente, los atacantes ya no se limitan a secuestrar sistemas de TI críticos, como el controlador de dominio, sino continuar al siguiente blanco: los servidores de administración de las soluciones de seguridad. Los objetivos pueden variar, desde poner malware en programas que no son revisados, hasta propagarlo a otros sistemas, incluso a aquellos que se supone que están completamente separados de la red infectada.
- La ausencia de protección de ciberseguridad en las redes OT
Puede ser difícil de creer, pero en muchos endpoints de las redes de tecnología operativa no han sido instaladas las soluciones de ciberseguridad. Incluso si la red OT está completamente separada de otras redes y no está conectada a Internet, los atacantes tienen formas de obtener acceso a ella. Por ejemplo, pueden crear versiones especiales de malware que se distribuyen a través de unidades extraíbles, como los USBs.
- Retos en las actualizaciones de seguridad de estaciones de trabajo y servidores
Los sistemas de control industrial tienen una forma única de funcionar, donde incluso tareas sencillas, como instalar actualizaciones de seguridad en estaciones de trabajo y servidores, necesitan pruebas cuidadosas. Éstas suelen realizarse durante el mantenimiento programado, lo que hace que las actualizaciones sean poco frecuentes y da a los agentes de amenazas el tiempo necesario para explotar las debilidades conocidas y atacar.
“En algunos casos, actualizar el sistema operativo del servidor requiere de la actualización de un software especializado (como el servidor SCADA) y, a su vez, del equipo mismo; todo eso puede resultar demasiado costoso. En consecuencia, se encuentran sistemas obsoletos en las redes de sistemas de control industrial”, agrega Goncharov. “Sorprendentemente, incluso los sistemas conectados a Internet en empresas industriales, que pueden ser relativamente fáciles de actualizar, pueden permanecer vulnerables durante mucho tiempo. Esto expone la tecnología operativa (OT) a ataques y riesgos graves, como lo han demostrado los escenarios de ataques en el mundo real”.
Para proteger a su organización contra amenazas relevantes, los expertos de Kaspersky recomiendan:
- Asegurarse de que si una empresa tiene tecnología operativa (OT) o infraestructura crítica, éstas se encuentren separadas de la red corporativa o, al menos, que no haya conexiones no autorizadas.
- Realizar auditorías de seguridad de los sistemas OT periódicamente para identificar y eliminar posibles vulnerabilidades. Además de establecer un proceso continuo de evaluación y gestión de estas.
- Utilizar soluciones de monitoreo, análisis y detección del tráfico de la red de ICS para una mejor protección contra ataques que puedan amenazar el proceso tecnológico y los principales activos de la empresa.
- Asegurarse de proteger los endpoints industriales además de los corporativos. La solución Kaspersky Industrial CyberSecurity incluye protección dedicada para endpoints y monitoreo de la red a fin de revelar cualquier actividad sospechosa y potencialmente maliciosa.
- Para comprender de manera más realista los riesgos relacionados con las vulnerabilidades en las soluciones OT y tomar decisiones informadas para mitigarlos, recomendamos obtener acceso a Kaspersky ICS Vulnerability Intelligence, con informes legibles para personas o con una fuente de datos legibles para máquinas, dependiendo de sus capacidades y necesidades técnicas.
- La capacitación en seguridad de ICS dedicada para los equipos de seguridad de TI e ingenieros de OT es crucial para mejorar la respuesta a las técnicas maliciosas nuevas y avanzadas.
En el blog de Kaspersky ICS CERT puede consultar más consejos sobre la configuración y ajustes de las soluciones de seguridad, el aislamiento de la red OT, la protección de los sistemas, el uso de un sistema operativo, software de aplicaciones y firmware de los dispositivos que ya son obsoletos.