En los últimos años, a pesar de la atención mediática centrada en las brechas de datos y los ataques de ransomware dirigidos a sistemas de tecnología de la información (IT), la amenaza para la tecnología operativa (OT) crítica aún se subestima con frecuencia. Sin embargo, los ataques a sistemas tecnológicos vinculados al mundo físico representan una vía rápida hacia resultados devastadores. Un ejemplo notable es Ucrania, que ha sufrido ataques de BlackEnergy e Industroyer, capaces de sabotear severamente su infraestructura energética.
El primer ataque, ocurrido en 2015, fue responsable del primer apagón provocado por un ciberataque, mientras que el segundo provocó apagones masivos para los residentes de Kyiv al año siguiente. Más recientemente, en 2022, investigadores de ESET, junto con CERT-UA, descubrieron una nueva variante de Industroyer, planificada para causar cortes en el suministro eléctrico en otra región de Ucrania, aunque el ataque fue detenido a tiempo. Estos incidentes, aunque relativamente inusuales, subrayan que ninguna organización, especialmente aquellas que operan en infraestructura crítica, puede permitirse menospreciar la amenaza cibernética que representa la OT.
A diferencia de la IT, que se centra en gestionar sistemas de información y aplicaciones, la OT incluye software y hardware usados para controlar sistemas del mundo físico. Este tipo de tecnología es común en fábricas y entornos industriales, así como en sistemas de control de supervisión y adquisición de datos (SCADA) y controladores lógicos programables (PLC). Sectores como el transporte, los servicios públicos y la salud están igualmente llenos de tecnología operativa.
Los problemas de ciberseguridad en el ámbito de la OT comenzaron en serio cuando sistemas que antes estaban aislados y diseñados específicamente fueron conectados a internet. Aunque esto facilitó su gestión remota, también los expuso a amenazas globales. La antigua creencia en la «seguridad por oscuridad» comenzó a erosionarse, permitiendo a los actores maliciosos explorar más fácilmente los sistemas de OT. Asimismo, la utilización de sistemas Windows en ambientes SCADA contribuyó a la vulnerabilidad, al igual que el uso de componentes más estandarizados.
Los ataques a OT pueden tener consecuencias graves, incluyendo la destrucción de infraestructuras críticas. Según estimaciones recientes, el año pasado hubo 68 ciberataques que interrumpieron más de 500 operaciones físicas, lo que representa un incremento anual del 16%. El costo por incidente de ataques serios puede alcanzar hasta 140 millones de dólares, sin incluir el potencial escrutinio regulatorio en el Reino Unido y la UE.
Las fuentes de la amenaza provienen tanto de cibercriminales motivados por el dinero como de estados-nación, quienes suelen esperar un punto de conflicto geopolítico para actuar. Un ejemplo es la campaña de ‘Volt Typhoon’ descubierta el año pasado, donde actores respaldados por el estado chino lograron persistir en redes de infraestructuras críticas, con la intención de sabotear activos clave en caso de un conflicto militar.
La seguridad en OT presenta múltiples desafíos. Estos sistemas suelen tener una vida útil más larga que los de IT, lo cual puede generar problemas de compatibilidad y seguridad. Además, la ciberseguridad no ha sido una prioridad en la industria. Un informe de 2022 reveló 56 nuevas vulnerabilidades en productos de OT, criticando las prácticas «inseguras por diseño» de los fabricantes.
Las diferencias en la mentalidad entre los equipos de OT y IT también complican la gestión de la ciberseguridad. Mientras que el enfoque de IT se centra en la confidencialidad y protección de datos, los equipos de OT priorizan la disponibilidad y seguridad, lo que puede dificultar el manejo de parches y vulnerabilidades.
En este contexto, se hace imprescindible implementar una estrategia de ciberseguridad en OT que contemple aspectos como el descubrimiento y gestión de activos, la gestión continua de vulnerabilidades, la segmentación de redes, la gestión de identidad y acceso, la prevención de amenazas, la protección de datos y la monitorización de la cadena de suministro. Promover una cultura de seguridad también resulta vital para mitigar riesgos.
Con el avance de tecnologías como la inteligencia artificial, que facilitan la selección de objetivos expuestos por los atacantes, resulta crucial que los propietarios de sistemas de IT redoblen sus esfuerzos en crear una seguridad en capas. Las recomendaciones en materia de gobernanza nunca han sido tan relevantes.
Fuente: WeLiveSecurity by eSet.
