Nuevas amenazas en ciberseguridad industrial
Ponencia de Erik de Pablo perteneciente al módulo Ciberseguridad Industrial de C1b3rWall Academy 22/23
Tiempo de lectura estimado: 9 minutos
Cambios recientes en el escenario de amenazas
Las amenazas producidas en el mundo de la ciberseguridad han crecido y están creciendo a gran velocidad e intensidad. Nadie podía imaginar hace seis o siete años que los ciberataques iban a tomar ese impacto y forma, como es el ejemplo del ransomware WannaCry, cuyo alcance llegó a la industria, aunque su mayor impacto fue dentro de las redes corporativas.
Ransomware y ataques a la cadena de suministro
En 2020 surgió un tipo de ataque completamente novedoso: el ataque a la cadena de suministro. La empresa de ciberseguridad norteamericana FireEye descubrió que se habían robado y utilizado herramientas propias de Red Team para modificar un paquete de actualización de la compañía SolarWinds y hacer que incluyera un virus, llegando a afectar a cerca de 300.000 clientes de esta empresa. Normalmente, los profesionales confían en su cadena de suministro, de ahí que este tipo de ataques y virus infiltrados resulten tan eficaces para los ciberdelincuentes. Para encontrar el fallo, FireEye necesitó más de 100 empleados y una revisión de 50.000 líneas de código, después de que uno de los trabajadores encontrara un extraño inicio de sesión de un usuario.
Otro ataque de ransomware es el conocido sobre Colonial Pipeline, una organización que soporta un oleoducto de más de 8.000 kilómetros que distribuye combustible desde Texas a Nueva Jersey. La compañía pagó un rescate de cinco millones de dólares. El presidente Biden tuvo que declarar la emergencia nacional y disponer de alternativas para mitigar el impacto que produjo el desabastecimiento de gasolinas durante varias semanas.
Exploits
Un nuevo tipo de ataque que está surgiendo es el denominado "exploit de n-días". Se trata de aprovechar una falla de seguridad descubierta por algún laboratorio que tiene establecido un esquema programado de liberación de información al público. Pese a que muchos desarrolladores hayan elaborado en ese periodo de tiempo los parches para mitigar el efecto de los fallos, una estrategia de los atacantes es confiar en que haya muchos usuarios que no hayan actualizado sus equipos.
Ataques combinados
Estos tipos de ataque buscan potenciar los efectos utilizando varios métodos de ataque simultáneos. Hay varios ejemplos:
1. Combinación de ataque cibernético + ataque con drones:
- La historia puede iniciarse en 2017, cuando se detectaron vuelos de drones sobre, al menos, siete centrales nucleares francesas.
- En la actualidad asistimos al uso masivo de estos dispositivos en acciones bélicas, particularmente en Ucrania.
- El ataque de un dron cargado con explosivos se puede amplificar con un ataque cibernético, por ejemplo, generando alarmas inexistentes en otros puntos alejados para dispersar las brigadas de bomberos o saturando la red interna para evitar la coordinación de la respuesta.
2. Combinación de ataque cibernético + redes sociales:
- El objetivo es amplificar el efecto del ataque con una manipulación de la opinión pública a través de una campaña de desinformación.
- La campaña puede buscar avisar o mostrar con manipulación el incidente, así como engañar sobre sus consecuencias o provocar movimientos de la población hacia la instalación industrial.
Tecnologías cuánticas
Hay consenso en cuanto a que los ordenadores cuánticos podrán romper las claves públicas entre 2030 y 2035. En julio de 2022, el National Institute of Standards and Technology (NIST) seleccionó cuatro algoritmos que deberían, por su diseño, resistir el ataque de una futura computadora cuántica. Varios de estos algoritmos han sido desarrollados e impulsados por la Unión Europea.
Inteligencia artificial
También hay amenazas en ciberseguridad industrial relacionadas con inteligencia artificial. Las técnicas englobadas en el grupo de las redes neuronales son las que más éxito están teniendo y las que se detectan con mayor frecuencia en los entornos industriales. Estas técnicas, sin embargo, suponen algunos problemas y riesgos que pueden convertirse en vectores de ataque. En concreto, el NIST ha identificado los siguientes factores en cuanto a los riesgos de amenaza: validez, confiabilidad, gestión del sesgo, transparencia, interpretación y privacidad. Los factores y sus amenazas pueden observarse en las siguientes imágenes:
Conclusiones
- La evolución de las amenazas es muy rápida, y la curva de complejidad e impacto se acerca a la exponencial, con saltos cualitativos muy relevantes.
- La realidad es que, en un horizonte de cinco años, se desconoce qué puede ocurrir en el mundo de la ciberseguridad.
- De hecho, una conclusión preliminar es que los mapas de riesgos a cinco años son ilusorios y no conducen más que a una sensación de falso confort.
- Por todo ello, convendría repensar estos mapas de riesgos y concluir, probablemente, que el horizonte a tres años es incierto y muy preocupante.
- Sería debería actuar con intensidad y firmeza en ciberseguridad, formando personal, dotándole de presupuesto y trasladando a la organización políticas, procedimientos y cultura de ciberseguridad.
¿Todavía no formas parte de C1b3rWall Academy? El contenido es gratuito, únete a otras miles de personas desde este enlace.
Si te interesa este tema, puedes consultar la información y cursar el Máster en Ciberseguridad o ver la oferta de másteres desde aquí.
Ponente: Erik de Pablo
Erik es físico por la Universidad Autónoma de Madrid y PDD por el IESE. Tiene una dilatada experiencia en automatización de procesos industriales y en SSII, desarrollada en la industria del petróleo en España y Sudamérica.
Recientemente, y durante seis años, ha sido Director de Investigación en ISACA-Madrid y es socio Director de la empresa de auditoría de sistemas RUTILUS.
Es CISA (Certified Information System Auditor) y CRISC (Certified in Risk and Information Systems Control).
- Contacto: edepablo@rutilus.com
¿Cuál es tu reacción?