Ciberseguridad en el ámbito industrial: IdC, Industria 4.0

Autore: Giorgio Sbaraglia

1. Los Orígenes de la IdC

El término «la Internet de las Cosas» (IdC) fue acuñado por el ingeniero inglés Kevin Ashton, investigador del Massachusetts Institute of Technology (MIT), que lo utilizó como título de una presentación que tuvo lugar en Procter & Gamble (P&G) en 1999 sobre el posible uso de la tecnología RFID (Radio Frequency Identification) en la supply chain. (leer el artículo)

IdC era para describir un sistema donde los objetos en el mundo físico pueden conectarse a Internet a través de sensores.

Por la intuición de Ashton, después de veinte años, la Internet de las cosas ha explotado y hoy afecta a miles de millones de dispositivos conectados en los más variados campos, haciendo posible una mayor automatización y control de los sistemas en los que se aplica.

Entre las muchas definiciones posibles de la Internet de las Cosas (IdC), nos gusta traer lo que da ENISA (European Union Agency For Network And Information Security) en el «Baseline Security Recommendations for IdC in the context of Critical Information Infrastructures», noviembre de 2017: «a cyber-physical ecosystem of interconnected sensors and actuators, which enable decision making» («un ecosistema ciber-físico de sensores y actuadores interconectados, que permiten un proceso de toma de decisiones inteligente»).

En la práctica, cualquier dispositivo electrónico equipado con un procesador, un sistema operativo y una conexión a Internet es – a todos los efectos – comparable a un ordenador. Es un objeto conectado (de ahí el término «Internet de los objetos») y por eso se puede atacar a través de la red.

Son muchos los tipos de dispositivos IdC ya presentes en las empresas y en nuestras casas: routers, televisores, electrodomésticos, termostatos, webcam, coches, cerraduras, instalaciones industriales, dispositivos médicos, sensores etc.

2. Los números del IdC

Se estima que los dispositivos IdC conectados han llegado a más de 30 mil millones en todo el mundo (véase la figura 1).

Según la previsión es International Data Corporation (IDC), el gasto mundial en IdC, podría superar los 1.000 milliardes (un billón) de dólares en 2022, alcanzando 1.100 milliardes de dólares en 2023, según la distribución por sectores indicada en la figura abajo.

La conexión a la red hace posible el control remoto de estos dispositivos.
Y si no se protegen adecuadamente, los ataques cibernéticos se convierten en una amenaza real y también muy seria, aún más grave cuando afectan a instalaciones industriales e infraestructuras críticas.

 


En cualquier Router y Firewall puede activar la protección FlashStart® Cloud para asegurar dispositivos de escritorio y móviles y dispositivos IdC en las redes locales.

> Para más detalles haga clic aquí
> Para una prueba gratuita haga clic aquí
> Para descubrir los precios haga clic aquí


 

3. Cosa sono gli Industrial Control System

Veamos entonces qué son los ICS: este es el acrónimo de Industrial Control Systems, sistemas de control industrial, la forma más importante – y crítica – del IdC y de la Industria 4.0. Son sistemas y tecnologías de diferentes tipos, por ejemplo sistemas SCADA (Supervisory Control And Data Acquisition) y Controladores Lógicos Programables (PLC).

Los SCADA sirven para monitorizar y controlar remotamente instalaciones industriales e infraestructurales. Las vulnerabilidades que padecen han sido la causa de muchos ataques dirigidos, de los que hablaremos más adelante. Otros ataques han afectado a los PLC, como el famoso Stuxnet.

Fuente de la imagen

Los ICS gestionan los procesos físicos y son ampliamente utilizados en muchos sectores industriales: petróleo y gas, centrales y redes eléctricas, autopistas, puertos, aeropuertos, estaciones ferroviarias, redes eléctricas. Se habla – con razón – de infraestructuras críticas.

Inicialmente, los sistemas industriales tenían características que los hacían inmunes a las amenazas cibernéticas, ya que no estaban conectados a la red IP.

Cuando los ICS se conectaron a Internet, junto con las ventajas innegables, surgieron riesgos importantes para su seguridad. Por una parte, los sistemas conectados son más flexibles en cuanto a la respuesta rápida a situaciones críticas y a la implementación de actualizaciones. Pero, por otro lado, estas infraestructuras, que gestionan servicios vitales, han demostrado su vulnerabilidad a los ataques cibernéticos.

Podemos considerar los años dos mil como el momento de inicio de estos ataques, cuando con la normalización de la conectividad de los sistemas industriales (SCADA, PLC, etc.) a través de los protocolos TCP/IP se realizó la convergencia de IT con el OT (Operational Technology).

4. De los sistemas SCADA a la convergencia del TI con el OT

La arquitectura SCADA nació en los años 50, mucho antes de la aparición de la red Internet. Por eso se llamaban «monolíticos»: eran sistemas aislados, controlados por PLC, pero sin ninguna conexión.

Fuente de la imagen

En las sucesivas generaciones SCADA, los sistemas se han conectado a la red, pero a menudo no se han diseñado con mecanismos capaces de prevenir accesos no autorizados o de hacer frente a la continua evolución de las amenazas derivadas de redes internas y externas.

En otras palabras: las redes industriales se han vuelto cada vez más complejas, con decenas y a veces cientos de dispositivos conectados (PLC, sensores, PC, switch, router, etc.), pero sin un proyecto preciso.

5. Las «mejores prácticas» para protegerse

Se descuidan las «best practices» que se aplican en las normales redes empresariales y se realizan por lo tanto redes «planas», sin segmentación y segregación de los activos más críticos.
A menudo, estas redes ni siquiera están protegidas contra cortafuegos, que se utilizan en la red de ordenadores corporativos.

 


En cualquier Router y Firewall puede activar la protección FlashStart® Cloud para asegurar dispositivos de escritorio y móviles y dispositivos IdC en las redes locales.

> Para más detalles haga clic aquí
> Para una prueba gratuita haga clic aquí
> Para descubrir los precios haga clic aquí


 

Los sistemas SCADA se instalan con frecuencia en ordenadores antiguos y «olvidados»: se pasan por alto los parches de actualización, con sistemas operativos obsoletos.

Una de las mayores criticalidades de los sistemas de T es su ciclo de vida, por término medio superior a 10-15 años (frente a un ciclo medio de 3-5 años para los sistemas de IT). Sigue estando muy presente WindowsXP (ya no es compatible con Microsoft desde abril de 2014) y Windows Server 2003 (soporte terminado desde julio de 2015).


Fuente de la imagen

Y además: a veces faltan antivirus/antimalware, porque no están previstos o no son compatibles con las aplicaciones. Y casi nunca la red se «cierra»: hay puertos USB accesibles, los puertos del sistema se dejan abiertos (quizás para el acceso remoto de los mantenedores) o incluso se olvidan abiertos.

En conclusión: el enfoque con el que se diseñan y gestionan los ICS es muy de tipo «industrial» y muy poco orientado a la seguridad, como si estas instalaciones se situaran en un mundo donde el ciberriesgo aún no existía.

Es necesario cambiar completamente esta actitud y considerarlos como redes informáticas, con la conciencia de que – en caso de ataque – el impacto podría ser aún más grave.

6. ES vs. ICS/OT: una relación complicada

Durante mucho tiempo, desde el nacimiento de los sistemas SCADA, Information Technology (IT) y Operational Technology (OT) se han desarrollado como dos dominios completamente distintos y separados.

IT se centró en todas las tecnologías necesarias para gestionar procesos informáticos con fines principalmente económicos y financieros.

OT se centraba en los dispositivos, sensores, redes y software necesarios para gestionar los procesos operativos (p. ej., suministro de energía y sistemas de producción) con fines principalmente de fiabilidad y seguridad.

La progresiva apertura e integración del mundo OT con el resto de los procesos informáticos ha cambiado completamente esta visión. Los dos dominios están cada vez más interconectados.

Pero esta interconexión tiene dificultades para integrarse en las empresas, porque aún hoy IT y OT parecen tener prioridades diferentes, como vemos en la imagen abajo.

En resumen: en el ámbito IT tiene la máxima prioridad la confidencialidad del dato, que no debe ser robado (Confidentiality).  Mientras que en el ámbito de la producción (OT) es la disponibilidad del dato el aspecto más importante, porque si el dato ya no está disponible (Availability), o se altera (Integrity) la producción corre el riesgo de bloquearse.

7. La naturaleza de los ataques cibernéticos a los sistemas industriales

En la actualidad, los ciberataques son cada vez más frecuentes y se dirigen principalmente a los sistemas de IT. Entre ellos se encuentran los ransomware, que encriptan archivos y bloquean el funcionamiento de las empresas.

Pero un ataque informático a un sistema industrial podría tener efectos aún más graves, ya que puede afectar a infraestructuras críticas y a operadores de servicios esenciales (electricidad, agua, transportes, etc.).

Por eso, más aún con la difusión de Industry 4.0, los sistemas OT deben protegerse con la máxima atención. Evidentemente, tienen la necesidad de estar conectados, pero estas conexiones deberán ser vigiladas y controladas con gran atención.

La red industrial deberá estar segregada en subredes protegidas y – cuando estas redes deban comunicarse con los sistemas IT de la empresa – conectadas a la red IT a través de puntos bien definidos y controlados con sistemas de protección.

8. El sistema de «Industrial Demilitarized Zone»

Se habla para esto de IDMZ (Industrial Demilitarized Zone): entre los sistemas empresariales (IT) y el área OT industrial se encuentra la zona desmilitarizada industrial o IDMZ. Esta permite conectar de forma segura redes con diferentes requisitos de seguridad (IT y OT).

Al impedir la comunicación directa entre los sistemas de IT y de OT, se añade un nivel adicional de separación en la arquitectura global de la red empresarial. Los sistemas en los niveles industriales no están directamente expuestos a ataques.

Fuente de la imagen

Si un ataque involucra un sistema industrial, el IDMZ podría ser cerrado, el compromiso podría ser contenido (mitigado) y la producción podría continuar. Los sistemas típicamente presentes en la zona industrial desmilitarizada incluyen servidores proxy (web), servidores de replicación de bases de datos, controladores de dominio de Microsoft, etc.

Esta arquitectura segregada con IDMZ sirve precisamente para prevenir el riesgo más frecuente: un ataque a los sistemas OT que llega a través de la red IT, típicamente más expuesta. Debido a que muchos de los ataques cibernéticos más famosos y graves a los sistemas industriales llegaron a través de la red de IT y en muchos casos explotaron el error humano.

 


En cualquier Router y Firewall puede activar la protección FlashStart® Cloud para asegurar dispositivos de escritorio y móviles y dispositivos IdC en las redes locales.

> Para más detalles haga clic aquí
> Para una prueba gratuita haga clic aquí
> Para descubrir los precios haga clic aquí


 

9. ¡Casos de ataques famosos y… muy instructivos!

El ataque Stuxnet en la central iraní de Natanz (2010)

Stuxnet representó un hito en el ciberguerra (guerra cibernética), así como uno de los casos más famosos de ataque ICS.

En enero de 2010, en la central nuclear de Natanz en Irán, las centrífugas dedicadas al enriquecimiento del Uranio235 enloquecieron, se descontrolaron y explotaron. Esto dejó sin uso al menos 1.000 de las 5.000 centrífugas iraníes y provocó un retraso de varios años en el programa nuclear iraní.


Fuente de la imagen

¿Qué ha pasado aquí? Un sofisticado ataque cibernético llevado a cabo por los Estados Unidos e Israel a través de la operación llamada «Juegos Olímpicos» realizada para dañar el programa atómico iraní, sin desencadenar una guerra convencional.

La operación fue confiada a expertos americanos de la National Security Agency (NSA), en colaboración con técnicos informáticos israelíes (la mítica Unidad 8200 de la Israel Defense Force – IDF).

Se creó un malware mortal y muy sofisticado, llamado Stuxnet, que era capaz de actuar en las instalaciones industriales dentro de Natanz, tomando el control de los PLC Siemens Simatic S7-300, que controlaban el funcionamiento de las centrífugas para el enriquecimiento de uranio.

Cuando se diseñó y fabricó el arma informática, Stuxnet, esta para actuar tenía que ser introducida en la planta. En cualquier ataque informático, la fase de intrusión es siempre una de las fases más delicadas y difíciles de realizar: para realizar el ataque, el atacante debe ante todo entrar en el sistema objetivo.


Fuente de la imagen

¿Cómo entró Stuxnet en la planta de Natanz? Por supuesto, los iraníes no eran tan descuidados como para poner sus centrales secretas en línea. Estas estaban aisladas de la red: se habla en estos casos de sistemas «air gapped», es decir, desconectados físicamente del resto de la red para garantizar una mayor seguridad.

El problema de los atacantes era que el malware de Stuxnet entrara en Natanz. Parece que el inicio de la infección por Stuxnet se inició desde el interior de la central a través de una memoria USB infectada introducida por algunos proveedores iraníes.

Estas compañías no sabían que habían sido atacadas, y una vez infectadas, era solo cuestión de tiempo antes de que la planta de Natanz se viera afectada. A través de una memoria USB insertada en los ordenadores dentro de Natanz, la infección se extendió desde los ordenadores Windows al software industrial Step7 (creado por Siemens) que controlaba los PLC de la central y modificó el código.


Fuente de la imagen

Aún hoy, las memorias USB son un método relativamente fácil y poco sospechoso para inyectar código malévolo. De hecho, la mayoría de las personas las introducen en los ordenadores sin preocuparse demasiado por los virus que pueden contener. ¡También en este caso el «factor humano» ha sido el punto más débil de la seguridad!

Más información sobre el ataque Stuxnet en este artículo

BlackEnergy “spegne” l’Ucraina (2015)

Otro famoso ciberataque a los sistemas industriales fue el que afectó a las centrales eléctricas ucranianas en 2015.

23 de diciembre 2015 a las 15:35: Ukrainian Kyivoblenergo, un distribuidor regional de electricidad, sufre un ataque informático. Los sistemas de al menos tres operadores regionales de electricidad se ven afectados en poco tiempo.


Fuente de la imagen

Siete subestaciones de 110 kV y 23 de 35 kV se desconectan durante más de tres horas. 225.000 personas se quedan sin electricidad.

El ataque es llevado por un país extranjero (se sospecha que es Rusia).

El agente utilizado para el ataque fue el trojan BlackEnergy, que controla los sistemas SCADA de las centrales, abre los interruptores y provoca un corte de energía en una gran parte de Ucrania.

Para restablecer el servicio, los operadores de las centrales tuvieron que pasar al control manual de las instalaciones. También en este caso el vector utilizado para penetrar en las centrales explotó el factor humano y el social engineering: se utilizó un email de spear phishing para acceder a las redes empresariales de los tres gerentes.


Fuente de la imagen

El correo electrónico contenía un anexo Excel armado con una macro (figura 4): la activación de la macro por el usuario que la recibió (probablemente un objetivo cuidadosamente identificado) abrió la puerta a BlackEnergy, desencadenando el ataque.

10. Conclusiones

En conclusión, es importante ser conscientes de que los sistemas ICS, por mucho que puedan ser protegidos y segregados, deben tener necesariamente conexiones de red (o de cualquier manera comunicarse con el exterior, incluso sólo para las operaciones de mantenimiento y actualización).

Esto representa el punto de vulnerabilidad del sistema, a través del cual el atacante puede entrar.

Y – lo reiteramos – la intrusión, incluso en este tipo de ataques, pasa sobre todo a través del error humano, con técnicas de ingeniería social y phishing.

Los sistemas de protección que FlashStart® proporciona están destinados precisamente a contener y prevenir estos tipos de ataques, actuando para prevenir y evitar que el phishing pueda actuar.

 


En cualquier Router y Firewall puede activar la protección FlashStart® Cloud para asegurar dispositivos de escritorio y móviles y dispositivos IdC en las redes locales.

> Para más detalles haga clic aquí
> Para una prueba gratuita haga clic aquí
> Para descubrir los precios haga clic aquí


 

L’autore
Giorgio Sbaraglia (https://www.giorgiosbaraglia.it), ingeniero, asesora y entrena en seguridad informática y privacidad.
Imparte cursos sobre estos temas para muchas empresas italianas de formación, entre ellas la 24Ore Business School

Es miembro del Comité Científico CLUSIT (Asociación Italiana para la Seguridad Informática) y certificado «Innovation Manager» por RINA.
Cubre encargos de DPO (Data Protection Officer) prenso empresas y órdenes Profesionales.

Es el autor de los libros:
“GDPR kit di sopravvivenza” (Editore goWare),
“Cybersecurity kit di sopravvivenza. Il web è un luogo pericoloso. Dobbiamo difenderci!” (Editore goWare),
“iPhone. Come usarlo al meglio. Scopriamo insieme tutte le funzioni e le app migliori” (Editore goWare).

Colabora con CYBERSECURITY360 , Jefe del Grupo Digital360 para Cybersecurity.
Escribe también para ICT Security Magazine ,  per www.agendadigitale.eu y por el periodico «CLASS».