Microsoft acaba de publicar la tercera edición de su informe Cyber Signals, en el que destaca las tendencias de seguridad y las conclusiones recopiladas a partir de los 43 billones de señales de seguridad monitorizadas por la compañía cada día y la experiencia de su equipo de 8.500 expertos en este campo. En esta edición, Microsoft comparte nuevas conclusiones sobre los crecientes riesgos que los sistemas convergentes de TI, Internet de las Cosas (IoT) y tecnología operativa (OT) plantean en las infraestructuras críticas y ofrece recomendaciones prácticas a las empresas.
La OT es una combinación de hardware y software a través de sistemas programables o dispositivos que interactúan con el entorno físico (o gestionan dispositivos que interactúan con él). Ejemplos de OT pueden ser los sistemas de gestión de edificios, los sistemas de lucha contra incendios y los mecanismos de control de acceso físico, como puertas y ascensores. Con el aumento de la conectividad, a través de una convergencia de TI, OT e IoT cada vez mayor, las organizaciones y las personas deben replantearse el impacto y las consecuencias de los riesgos cibernéticos.
Del mismo modo que la pérdida de un dispositivo que contenga credenciales wifi en su caché podría conceder a un ciberdelincuente acceso no autorizado a una red, comprometer remotamente los dispositivos conectados de una fábrica o las cámaras de seguridad de un edificio inteligente introduce nuevos vectores para amenazas como el malware o el espionaje industrial.
Con más de 41.000 millones de dispositivos IoT en entornos empresariales y de consumo previstos para 2025 -según un estudio de International Data Corporation (IDC)-, el equipamiento como cámaras, altavoces inteligentes o cerraduras y electrodomésticos pueden convertirse en puntos de entrada para los atacantes.
Objetivo: el compromiso de infraestructuras críticas
A medida que los sistemas de OT sobre los que se cimentan la energía, el transporte y otras infraestructuras se conectan cada vez más a los sistemas de TI, el riesgo de interrupciones y daños aumenta conforme se difuminan las fronteras entre estos mundos antes separados. Microsoft ha identificado vulnerabilidades sin parchear y de alta gravedad en el 75% de los controladores industriales más comunes en las redes OT de los clientes, lo que pone de manifiesto lo difícil que es, incluso para las organizaciones con recursos adecuados, parchear los sistemas de control en entornos exigentes y sensibles a los tiempos de inactividad. A esto se suman circunstancias como que la publicación de vulnerabilidades de alta gravedad en equipos de control industrial de fabricantes reconocidos ha crecido en un 78% entre 2020 y 2022. Esto pone de manifiesto el interés de los ciberdelincuentes por estos vectores de ataque con capacidad de compromiso de infraestructuras críticas.
Para las empresas y los operadores de infraestructuras de todos los sectores, los imperativos en materia de defensa consisten en disponer de una visibilidad total de los sistemas conectados y sopesar la evolución de los riesgos y las interdependencias. A diferencia del panorama de TI de sistemas operativos, aplicaciones empresariales y plataformas comunes, el de OT e IoT está más fragmentado, con protocolos y dispositivos propietarios que pueden carecer de estándares de ciberseguridad. También influyen otras circunstancias como la aplicación de parches, la gestión de vulnerabilidades o el uso de tecnología obsoleta. Un ejemplo de ello es que más de un millón de dispositivos conectados y visibles públicamente en Internet ejecutan Boa, un software obsoleto y sin soporte desde hace más de 17 años, que todavía se utiliza ampliamente en dispositivos IoT y kits de desarrollo de software (SDK).
Aunque los dispositivos de OT conectados y habilitados para IoT ofrecen un importante valor a las organizaciones que buscan modernizar los espacios de trabajo, centrarse más en los datos y reducir la carga de trabajo del empleado mediante cambios como la gestión remota y la automatización de las redes de infraestructuras críticas, si no se protegen adecuadamente, aumentan el riesgo de acceso no autorizado a los activos operativos y las redes.
David Atch, responsable de investigación de seguridad de IoT y OT en Microsoft Threat Intelligence, destaca en esta edición del informe que, para hacer frente a las amenazas de TI y OT en infraestructuras críticas, las organizaciones deben tener una visibilidad completa del número de dispositivos de TI, OT e IoT en su empresa, dónde o cómo convergen, y de los datos vitales, recursos y servicios públicos accesibles a través de estos dispositivos.
Sin esto, las organizaciones se enfrentan tanto a la filtración masiva de información (como la difusión de datos de producción de una fábrica) como a la posible elevación de privilegios para el control y la gestión de sistemas que conectan el mundo digital con el físico (como la detención de la línea de producción de una fábrica).
La seguridad de las soluciones IoT con un modelo de seguridad Zero Trust comienza con los requisitos específicos no relacionados con IoT, es decir, garantizar que se han implementado los elementos básicos para proteger las identidades y sus dispositivos, y limitar su acceso. Estos requisitos incluyen la verificación explícita de los usuarios, la visibilidad de los dispositivos de la red y la detección de riesgos en tiempo real.