Ante la pasividad de la industria por
asegurar sus sistemas cada vez más conectados, el investigador y director de
Ciberseguridad en Tecnalia, Óscar Lage, advierte que los riesgos son cada vez
mayores
Todo paraíso tiene su infierno. Al
ensueño dibujado por los defensores de la sociedad ultraconectada y el internet
de las cosas (IoT, por sus siglas en inglés), le corresponde también un reverso
menos onírico dominado por el secuestro de sistemas, el robo de datos, la
suplantación de identidad y la destrucción de activos.
Una industria conectada es también una
industria más amenazada. Y ahora mismo "hay un montón de sistemas que
funcionan muy bien porque se han diseñado así, pero en los que nunca se ha
tenido en cuenta la ciberseguridad", afirma el director del área de
Ciberseguridad en el centro de investigación Tecnalia, Óscar Lage. Por eso, su
trabajo consiste en cerrar brechas y minimizar los riesgos empresariales
mediante tecnologías como criptografía, las cadenas de bloques y la
inteligencia artificial.
El entorno industrial y energético es
el que sufre los verdaderos ataques. Un ranwomware afecta a todo, pero lo que
más llama la atención son hospitales y fábricas. Estamos hablando de sistemas
industriales que están pensados para trabajar de forma aislada y que, de
repente, se conectan bajo el paradigma de la industria 4.0 de explotar datos y
hacer mantenimiento predictivo. Y ahora es cuando empiezan los problemas.
¿Cuáles son los
ciberataques más comunes?
- En los primeros meses de este año la mayoría de incidentes proceden de redes zombis, ordenadores que están siendo utilizados para atacar. Los ataques más peligrosos son las denegaciones de servicio distribuidas. Pueden paralizar los servicios de un banco, Amazon, o incluso un DNS que resuelve la dirección web de un montón de empresas, como ya pasó el año pasado. Muchos de estos ordenadores y dispositivos IoT están esclavizados a la espera de lanzar un ataque. Es lo que más se produce, aunque obviamente es menos llamativo que un ransomware que bloquea el ordenador.
¿Y en las empresas?
¿Existe alguna particularidad en los ataques que reciben?
- En la industria, de forma sigilosa y sin detener el ordenador, lo que se está haciendo es robar información. Nos encontramos con gente que cuando presenta una licitación internacional se encuentra con una empresa, por ejemplo china, que ha comprado los datos y presenta el mismo pliego dos dólares más barato. Esto es imposible si no hay una fuga de información. Cuando lo analizas, resulta que a la empresa le faltan logs [registros del comportamiento de los sistemas y programas], etcétera. No se sabe exactamente qué ha pasado, pero alguien de la competencia ha obtenido esa información. Son contratos de muchos millones y en los que hay gente que paga por obtener esa información mediante ataques dirigidos contra empresas concretas. Y esto está pasando en empresas españolas. No hablamos de ciencia ficción.
¿Quién está detrás de
esos ataques? ¿Se puede llegar a saber?
- En muchos casos ni se sabe, pero hay redes y grupos de hackers que se dedican a ello. Incluso determinados gobiernos pueden estar detrás, pero ahí hilar el hilo es muy complicado. Se encuentran muestras, pero este tipo de ataques son muy sigilosos y tampoco es fácil saber quién ha sido realmente.
- La llamada industria 4.0 y el IoT plantean la conexión total de cualquier elemento. Pero conectar más dispositivos y máquinas implica también más riesgos, ¿no?
Está claro que
interconectarlo todo es un nuevo riesgo.
- Si dispusiéramos de protocolos industriales seguros, autenticados, con comunicaciones confidenciales y cifradas no tendríamos estos problemas. Pero todos estos datos [de la industria] están hechos para estar aislados y de repente los conectamos y los juntamos con cosas como cámaras IP, que hemos comprado a precio y no sabemos muy bien ni cómo funcionan ni qué seguridad tienen. El fabricante puede pensar: "¿Qué problema hay con que vayan a ver dos imágenes de la fábrica?" Pero a partir de la cámara se puede acceder al resto porque está todo en la misma red.
- Lo primero es segmentar la red, definir exactamente qué necesidades de conexión tiene cada elemento, y poner medidas de protección a la entrada y salida de cada uno de esos segmentos.
¿Por qué no actúan
las empresas desde el principio?
- El problema suele ser que el proceso de conectar la empresa muchas veces lo lidera el departamento de IT, que se quiere lavar las manos y dice que forma parte del departamento industrial. Entonces, de repente, le cae toda la responsabilidad a alguien de producción o de operaciones. Al mismo tiempo, pasan por allí un montón de empresas ofreciendo las bondades y beneficios de explotar los datos, sensorizar y demás. Es su cometido, pero muchas veces esas empresas tampoco se preocupan por la seguridad. Dan por hecho que alguien lo hará, pero la realidad es que, en ese momento, ahí en medio, nadie se preocupa.
- Falta sensibilidad. Piensa que cada seis meses se incrementa un 19% el número de máquinas conectadas a internet. Ya no es que estén protegidas o no, es que están conectadas directamente a internet. Es un problema bestial.
Quedaría la opción de
los proveedores, que las máquinas sean seguras en origen.
- Intentamos hablar con los fabricantes para que su nueva generación de aparatos sea segura e incluya las medidas adecuadas. Pero tampoco llegarían al mercado hasta dentro de cinco años. Aparte, son equipamientos que tienen una vida útil de 20 ó 30 años. Hay que trabajar con los fabricantes, pero también con quienes los implantan, los clientes tienen que concienciarse.
- Sin embargo, siempre estaría el riesgo de conectarse desde fuera. Todo apunta a que los sistemas se controlarán cada vez más desde la nube y en remoto.
- Lo bueno de una red industrial es que, aunque la gente se conecte desde fuera, suele ser bastante estable y su forma de operar es muy similar y su comportamiento se puede modelizar con inteligencia artificial. Por ejemplo, un patrón muy sencillo que se suele detectar muy rápido: si el cambio de parámetro de una máquina suele producirse dos o tres veces al mes y de repente se realiza tres veces en un mismo día, el algoritmo detecta que algo sucede. Puede que sólo estén revisando la máquina, pero algo pasa. A partir de ahí, el responsable de la infraestructura puede revisar si esto es un problema o no. Y si no lo es, el algoritmo lo aprende y lo etiqueta como "mantenimiento".
- Es en lo que trabajamos mientras llegan la ciberseguridad y los equipos ciberseguros a la industria. No vas a proteger los protocolos, pero por lo menos detectar lo que está pasando hasta entonces. Si hablamos de una nueva planta, quizá en seis años ya esté totalmente segura, pero nos quedan muchos años de máquinas e industrias no seguras.
La inteligencia
artificial se convierte un poco en vigilante, pero ¿podría ser también una
amenaza?
- Los atacantes también son cada vez más fuertes y utilizan este tipo de inteligencia artificial para dar el salto. Un ejemplo es el uso de agentes inteligentes que simulan el comportamiento de una red para no levantar sospechas. Son cosas súper complicadas y cada vez más difíciles de detectar.
Fuente: MIT Technology Review