A nadie se le escapa que la ciberseguridad es una de las grandes preocupaciones de las empresas en estos tiempos. No es para menos: cada compañía española recibió de media 66 ciberataques, con un coste total de 7,3 millones de euros. Son cifras de un informe de Accenture referido a 2018, y desde entonces los números no han hecho sino crecer exponencialmente.
Pero hay un entorno que históricamente ha vivido ajeno a estos temores: el industrial. Desde que las fábricas comenzaron a dotarse de tecnologías operativas (esto es, automatización de tareas o sensores para la monitorización de la cadena de producción), lo hicieron con una aproximación muy particular, aislando completamente estos dispositivos de la red corporativa. Sin posibilidad de acceso desde el exterior a estos sistemas, lo único que quedaba por proteger era el acceso físico a las instalaciones.
Esta estrategia, que ha llevado a denominar como “cajas negras” a estos entornos industriales, ha funcionado relativamente bien durante varias décadas. Hasta que los enormes inconvenientes que trae consigo la han hecho saltar por los aires.
“Al principio los dispositivos que se encontraban en la zona de control dentro de las infraestructuras contaban con un software muy simple y apenas tenían conectividad, debido a que estaban en redes aisladas”, recoge el INCIBE en sus predicciones de seguridad industrial 2020-2029. “Ahora, con la evolución de la industria 4.0 y el Internet de las Cosas, los dispositivos dedicados al entorno industrial han incorporado mejoras progresivamente, aportando una mayor conectividad con el resto de los dispositivos y redes, pero, a su vez, abriendo camino a nuevos vectores de ataque”.
Coincide en el diagnóstico Erik de Pablo, en un análisis de hace unos años para Rutilus e ISACA: “En los últimos años han aparecido entornos tecnológicos de tratamiento y procesado de la información que no estaban incluidos en el modelo tradicional. Entre ellos están los accesos remotos, redes externas, los nuevos dispositivos personales, smartphones y tablets, etc… Surgen por la necesidad de interconectar estos nuevos entornos con la información corporativa, con objeto de integrarla y hacerla interactiva”.
En el caso específico de los entornos industriales, los sistemas técnicos de diferente tamaño y complejidad controlan la operativa diaria de la industria y han estado siempre, desde sus inicios, aislados de los sistemas corporativos. Además, han estado caracterizados por un enorme protagonismo de los proveedores de cada equipamiento, tanto en su configuración como en su mantenimiento.
Sin embargo, a principios de la década pasada, se inició un proceso de conexión con el resto de la empresa, con objeto de que estos sistemas ofrecieran información en tiempo real (como los datos de existencias) y también recibieran órdenes, desde los programas de producción, la cadena logística o los operarios en remoto.
Un camino en el que, poco a poco, se fue dotando a muchos sistemas de control industrial del protocolo TCP/IP que usan todos los equipos conectados a Internet. Y, así, sin apenas darse cuenta, las fábricas pasaron a ser un vector más en la superficie de ataque de una empresa.
La evolución dentro de la fábrica
En una fábrica al uso, encontramos distintos dispositivos elementales que permiten su funcionamiento eficiente. Hablamos de equipos como los PLC (controlador lógico programable), RTU (unidad de transmisión remota) o IED (dispositivo electrónico inteligente). A ellos se le suman sensores y actuadores. Y ninguno de ellos tenía pensada, en origen, la posibilidad de conectarse a Internet.
René Delbé, ingeniero de ventas sénior de CyberX, filial de Microsoft, detalla durante un evento organizado por Fortinet que “uno de los primeros pasos que definitivamente recomendamos al ir hacia una industria 4.0 es verificar las amenazas existentes y vulnerabilidades en su entorno actual antes de comenzar a modernizar sus sistemas y redes inseguras por diseño".
Un detalle recurrente en los análisis de los expertos sobre la seguridad informática en los entornos industriales trata sobre la falta de conocimiento y visibilidad no ya de los dispositivos que están conectados a la Red en una planta, sino incluso de qué y cuántos equipos están presentes en la fábrica. “Los dispositivos digitales han estado presentes en los entornos industriales desde hace mucho tiempo. Pero hay mucha gente que no sabe lo que tiene en su planta, porque estos equipos llevan funcionando una o dos décadas sin que nadie se conciencie de ellos”, advierte Michael Rothschild, director sénior de marketing de Tenable, durante la misma cita de Fortinet.
“La mayoría de los dispositivos no están diseñados con la ciberseguridad como principal prioridad. Como resultado, estos dispositivos pueden exponer el entorno industrial a una amplia gama de amenazas cibernéticas”, recoge a su vez el documento del INCIBE. “Dado que los entornos industriales carecen de visibilidad y controles de seguridad es muy difícil detectar amenazas en tiempo real o incluso después del ciberataque”.
“Hay un desconocimiento generalizado de la fácil accesibilidad a los sistemas de control industrial conectados a la red (por ejemplo: sistemas de control remoto, servidores SCADA basados en sistemas operativos que no se actualizan por miedo a que no funcionen después, conexiones vía radio, etc.)”, añade otro análisis de la firma de ciberseguridad S2 Grupo. “También hay un exceso de confianza en las medidas de seguridad física y control de acceso (por ejemplo: posibilidad de clonación de tarjetas RFID o de causar daño a un elemento físico de un sistema de forma remota)”.
Esta misma casa alerta de que actualmente, la gestión y los riesgos de un equipo industrial es prácticamente igual que la gestión de cualquier otro equipo informático conectado en red. O quizás más: el INCIBE reconoce que la disminución de la rentabilidad y el aumento de los riesgos de los ciberataques dirigidos a las víctimas tradicionales “está empujando a los ciberatacantes a buscar nuevos objetivos, incluidos los de las organizaciones industriales”.
Y si estos factores no fueran preocupantes por sí mismos, llegó la Covid-19. “Las industrias nos llaman y dicen que antes de la pandemia había acciones que eran imposibles de realizar fuera de la planta, pero ahora tenemos que hacerlo porque la forma en que trabajamos ha cambiado drásticamente en los últimos seis meses”, admitió Andrea Carcano, cofundador de Nozomi Networks. “Esto significa que la superficie de ataque es muy diferente a la de antes”.
El caso ‘Stuxnet’
Los sistemas de control industrial pueden verse afectados por ciberamenazas de diferente índole como sabotajes, interrupciones de la cadena de producción, robos de información, fraudes, chantajes… Cualquiera de esos riesgos trae aparejados ingentes daños económicos para la compañía e, incluso, impactos dramáticos a su reputación corporativa.
El caso más conocido de un ataque dirigido a estos sistemas de control industrial tiene nombre propio: Stuxnet. Se trata de un gusano informático, descubierto en 2010, capaz de reprogramar los controladores lógicos de una planta industrial sin dejar apenas rastro.
Una “nueva arma cibernética”, como la definieron algunos expertos en aquel momento, que tuvo a las centrales nucleares iraníes como objetivo. De hecho, la autoría de Stuxnet se ha atribuido extraoficialmente a Estados Unidos e Israel, debido a las pugnas políticas existentes entre esos países e Irán.
Esa fue la constatación de la gravedad de un ciberataque en un entorno de esta índole. Y sin embargo, la madurez de la seguridad informática sigue siendo muy débil en este contexto. Las recomendaciones de la industria para hacer frente a estos temores son lógicas y sencillas de plantear, quizás más difíciles de llevar a la práctica: adoptar los mismos principios de ciberseguridad que en el resto de la empresa u definir metodologías claras de detección, respuesta y mitigación de los posibles daños.