Los acontecimientos en el panorama de las amenazas se han intensificado considerablemente en los sectores de la fabricación industrial y las infraestructuras críticas, provocando destrucción, pérdidas económicas y poniendo en peligro la seguridad de las personas. Históricamente, los actores estatales eran los sospechosos habituales de lanzar ciberataques contra infraestructuras críticas, aprovechando los conocimientos especializados que eran de su dominio. Sin embargo, la reciente accesibilidad de los bancos de pruebas y protocolos de OT ha ayudado a los actores maliciosos en el desarrollo de malware listo para usar, abriendo las compuertas a los ciberdelincuentes que ya no necesitan formación especializada para llevar a cabo ataques mortales. Ahora, el ransomware es la amenaza más común en entornos de tecnología operativa y sistemas de control industrial (OT/ICS). En 2023, el 47% de las organizaciones informaron de incidentes de ciberataques de ransomware. Los desafíos también surgen de los sistemas sin parches, una preocupación para el 38% de las organizaciones, mientras que el 76% teme ataques de estados-nación. La convergencia de la tecnología de la información (TI) y la tecnología operativa (OT) cambia el terreno de todo el ecosistema de la organización, lo que requiere un sistema de defensa holístico que pueda fortificar esta superficie de ataque ampliada. La creciente interacción entre las redes de Internet de las Cosas (IoT)/OT y las infraestructuras críticas, combinada con medidas de seguridad inadecuadas en las redes OT y la seguridad de los dispositivos, también amplifica los riesgos. Los sistemas heredados dentro de las redes OT añaden una complejidad onerosa a los esfuerzos de ciberseguridad. A nivel mundial, el 97% de las organizaciones han reportado incidentes de TI que impactan OT; el 59% de las organizaciones están en riesgo de ciberamenazas OT, con un 46% que ya han sufrido incidentes de seguridad OT. Además, el 59% de las organizaciones siguen lidiando con la complejidad de la ciberseguridad. Un enfoque sólido de ciberseguridad implica estrategias de gobernanza, identificación, protección, detección, respuesta y recuperación. A pesar de que el 77% de las organizaciones mundiales se encuentran en el nivel de madurez 3 en ciberseguridad OT/ICS, existe la necesidad de seguir mejorando más allá del mero cumplimiento. El 68% de las organizaciones están aumentando continuamente sus presupuestos OT/ICS, lo que indica una necesidad urgente de elevar su postura de seguridad OT. Esto es crucial para contrarrestar las tácticas cambiantes de los ciberdelincuentes. Los cambios legislativos en 2023 marcan un momento decisivo en la ciberseguridad OT/ICS, con los gobiernos actualizando los marcos e introduciendo normas para fortificar los sectores de infraestructuras críticas. Las organizaciones están mejorando en términos de gobernanza, equipos y tecnología, y los directores generales participan cada vez más en las decisiones sobre ciberseguridad. El 38% de las organizaciones cuenta con equipos dedicados específicamente a la OT, mientras que el 23% comparte equipos de TI-OT. Equilibrar la seguridad con la eficiencia operativa sigue siendo un reto.  

Tras reconocer el papel vital de los datos, en particular de los registros de máquinas que forman parte integral de los procesos de fabricación, las organizaciones buscan ahora invertir en la resistencia de su infraestructura tecnológica, principalmente en la seguridad de los activos críticos y sus datos. Las organizaciones están recurriendo a enfoques innovadores como la detección y respuesta de sistemas ciberfísicos (CPSDR), que mejora las posturas de ciberseguridad de OT mediante la integración de la experiencia de OT en varios dominios. En un esfuerzo conjunto, TXOne Networks y Frost & Sullivan llevaron a cabo una amplia encuesta, en la que participaron 405 responsables clave de la toma de decisiones de seguridad de TI y OT de cuatro regiones principales: Estados Unidos (102 encuestados), Alemania (101), Emiratos Árabes Unidos (100) y Japón (102). Esta exhaustiva encuesta se dirigió específicamente a profesionales que: desempeñan un papel fundamental en la gestión de la ciberseguridad OT, participan activamente en funciones de seguridad de TI a tiempo completo o gestionan operaciones OT. Completada en septiembre de 2023, esta encuesta abarcó los sectores de automoción, farmacéutico y biotecnológico, químico, fabricación general, petróleo y gas natural, y transporte, y proporciona valiosas perspectivas de una amplia gama de expertos de la industria. Junto con la amplia encuesta realizada a 405 responsables de la toma de decisiones clave en materia de seguridad de TI y OT, TXOne llevó a cabo simultáneamente una encuesta sobre la madurez de la ciberseguridad OT/ICS. Esta encuesta utilizó un marco de nivel de madurez de seguridad OT progresivo diseñado específicamente por Frost & Sullivan para evaluar el nivel de madurez de la ciberseguridad OT de una organización. Este modelo, un enfoque sistemático para comprender el estado actual de la ciberseguridad de una organización, emplea el Marco de Ciberseguridad 2.0 (también conocido como CSF 2.0) del Instituto Nacional de Estándares y Tecnología (NIST) para establecer un estándar universal e impulsar a las organizaciones hacia una optimización de la madurez procesable. La convergencia de las redes de TI y OT sigue haciendo que los entornos OT sean más vulnerables a los ataques, especialmente aquellos que carecen de actualizaciones de seguridad oportunas, además de exacerbar el impacto de los ataques. Los grupos RaaS pueden cambiar su enfoque hacia el robo de datos, apuntando a plataformas IIoT como GE Predix, Siemens MindSphere y Rockwell Automation FactoryTalk, que son parte integral de los procesos industriales modernos. Estas plataformas corren el riesgo de ser blanco de exploits de día cero o día N, cuyo objetivo es robar datos confidenciales y secretos comerciales. La dependencia de servicios y software de terceros ha abierto vías para los ataques a la cadena de suministro, lo que plantea riesgos no sólo para la organización principal, sino también para sus clientes.  

El enfoque inherente del sector OT en la automatización, en comparación con IT, lo hace más vulnerable a pérdidas operativas y financieras significativas, incluso por breves períodos de inactividad. Esta vulnerabilidad ha hecho que las industrias OT sean particularmente atractivas para los ciberdelincuentes, dado que el alto costo de la interrupción operativa aumenta la probabilidad de pago de rescates. El mantenimiento de los sistemas de OT presenta retos únicos, más complejos que los entornos de TI tradicionales. Las cuestiones clave incluyen mantener el desempeño de la maquinaria y garantizar la seguridad del entorno, del personal y de los datos. Las vulnerabilidades de los sistemas OT surgen a menudo de la interrupción del soporte, que los deja sin las últimas actualizaciones de seguridad. Los atacantes aprovechan estas vulnerabilidades utilizando herramientas de búsqueda en Internet para identificar y acceder a puertos de gestión remota, a menudo mediante credenciales predeterminadas. Además, el acceso remoto para el mantenimiento de terceros, necesario para reparar los equipos, puede entrar en conflicto con las políticas de seguridad de una organización. Las configuraciones de acceso remoto inseguras, como se vio en el ciberataque a la red eléctrica de Ucrania en 2015, aumentan estos riesgos. Además, la integración de las redes de TI y OT en las industrias manufactureras ha aumentado el riesgo de ataques a través de la red. Un aislamiento inadecuado durante el mantenimiento expone a los sistemas OT a ciberamenazas, siendo las actividades de TI una de las principales causas de incidentes de seguridad OT. Por ejemplo, en los Estados Unidos y los Emiratos Árabes Unidos, las actividades de TI se citan como las principales causas de incidentes de seguridad OT. La proliferación de vulnerabilidades en la cadena de suministro de software permite a los actores de amenazas infiltrarse en los sistemas de TI de las empresas, afectando a los sistemas OT. Las técnicas utilizadas por grupos como CL0P, como el descubrimiento remoto de sistemas, el aprovechamiento de vulnerabilidades SMB y el secuestro de RDP, demuestran la sofisticación de estos ataques. En 2023, las infraestructuras críticas mundiales y los sectores manufactureros se enfrentaron a retos de ciberseguridad sin precedentes en el ámbito OT/ICS. El ransomware, a través de los modelos Ransomware-as-a-Service (RaaS), plantea amenazas significativas, dando lugar a peticiones de rescate, interrupciones operativas, daños a la reputación e incluso daños físicos. La integración de TI y OT requiere estrategias de defensa integrales, haciendo hincapié en una gobernanza sólida y diversas tácticas de seguridad. Los retos incluyen la falta de seguridad en los entornos OT/ICS, las vulnerabilidades de la cadena de suministro y los complejos sistemas heredados. La escalada de las tensiones geopolíticas aumenta significativamente la probabilidad de intensas ofensivas cibernéticas por parte de hackers patrocinados por el Estado o entidades con motivaciones políticas. La escalofriante eficacia de las tácticas de amenaza empleadas por operaciones respaldadas por el Estado, como Volt Typhoon, ha quedado ampliamente demostrada. En particular, para las técnicas que se basan en vivir del terreno, algunas líneas de comandos pueden parecer benignas pero podrían ser falsos positivos de actividad maliciosa.  

Los defensores deben aplicar su conocimiento del sistema y su comportamiento de referencia para evaluar la importancia de las coincidencias. La variabilidad en los argumentos de las cadenas de comandos debe tenerse en cuenta al crear la lógica de detección, dado que elementos como los puertos utilizados pueden variar según el entorno. La capacidad de los agresores para mezclarse a la perfección con las operaciones legítimas de Windows, eludir las medidas de seguridad y suprimir las alertas de los productos EDR de TI complica la matriz de defensa basada en EDR de TI. Para hacer frente a esto, la adopción de un enfoque CPSDR es muy aconsejable. Este método impide que los adversarios eludan encubiertamente las medidas de seguridad de TI, garantizando que sus actividades dentro del entorno OT/ICS sean advertidas. Depende de la supervisión y captura continuas de las huellas dactilares de los dispositivos y de cualquier desviación de la actividad de la red. Tras establecer una línea base de comportamiento, la utiliza no sólo para detectar posibles anomalías en los dispositivos, sino también para suprimirlas antes de que puedan causar inestabilidad. Esencialmente, se detecta cualquier intento malicioso en un dispositivo, no necesariamente porque se identifique una consecuencia específica de malware, sino porque se detectan y detienen todas las anomalías del sistema. Esto resuelve la anterior falta de conocimiento de la situación OT/ICS en las herramientas de IA, proporcionando a las empresas una arquitectura defensiva holística. Combate las amenazas conocidas y amplía la protección contra las desconocidas, atrapando cualquier acto malicioso antes de que pueda comenzar. Con todas las desviaciones meticulosamente detectadas y reducidas, no hay necesidad de perder el tiempo determinando el nivel de amenaza antes de responder. Incluso si una amenaza se infiltra en la infraestructura de TI, una vez que alcanza el dominio OT, CPSDR la detiene en seco. Esto es lo que se denominan operaciones de seguridad contextualizadas. 

Para leer más ingrese a: