El gran evento anual de Kaspersky en Rusia alerta de que el auge de la industria 4.0 añade vulnerabilidades a construcciones críticas como las plantas energéticas.
Sin ánimo de desmerecer a los ya bien conocidos ataques de ransomware o phising, el universo de la ciberdelincuencia tiene una nueva estrella. Los ataques a edificios conectados e infraestructuras críticas se presentan como el último gran nicho de mercado para los hackers. Y es que, a medida que la sensorización y la automatización de más y más procesos crece en fábricas y centros de producción, se abren más y más vías de ataque.
Si nos ponemos en la piel de un hacker, ¿qué puede ser más interesante? ¿Pedir un rescate por dejar en negro unos cuantos ordenadores y robar archivos de contabilidad? ¿O introducirse en el sistema de gestión de, por ejemplo, una planta de fabricación de vehículos e impedir durante horas o días el funcionamiento de la cadena de montaje? El nivel de pérdidas económicas no es comprable y si, además, pensamos en suministros básicos (energía, agua o petróleo) los daños son todavía mayores porque terminan afectando al ciudadano corriente.
Los edificios conectados son una puerta abierta a una nueva clase de ataques
Para analizar todos estos cambios que abren el internet de las cosas en general y la industria 4.0 en particular en el universo de la ciberdelincuencia, la compañía rusa de seguridad Kaspersky ha organizado esta semana su congreso anual de ciberseguridad industrial, al que INNOVADORES ha asistido en exclusiva como único medio español invitado.
“El mundo hoy está basado en el universo ciber, pero muchas de las infraestructuras actuales se construyeron en el pasado, cuando no existían requerimientos para ciberprotegerlos, y por eso la tecnología los convierte en vulnerables”, sentenciaba durante la inauguración Eugene Kaspersky, el CEO y fundador de esta compañía rusa que, como tantas otras del sector, ha visto saltar su negocio del mundo de los antivirus convencionales para PC a la nube y el internet de las cosas.
Según los datos que ha presentado la firma, solo en la primera mitad de 2019 el 40% de los edificios inteligentes ha sufrido algún tipo de ciberataque. España es el segundo país más atractivo para estas amenazas. “Lo que sucede es que estos ataques pasan desapercibidos, las empresas no los hacen públicos y por eso creemos que en realidad los datos son mayores y estamos infravalorando la amenaza”, explica Georgy Shebuldaev, responsable de desarrollo de negocio en la división industrial de Kaspersky.
“La mayoría de los clientes industriales ya tiene herramientas básicas de protección, y ahora empiezan a moverse hacia las operaciones más complejas de ciberseguridad”, señala el responsable de Kaspersky. Las centrales eléctricas son el eslabón más débil de la industria, dice, y el objetivo más atractivo para la ciberdelincuencia por la escala a la que se replica el daño causado en millones de hogares y oficinas. Las infraestructuras de suministro de gas, agua, los sistemas de administración pública, el transporte y todo lo que rodea a las smart cities son también grandes dianas.
“Aunque estas cifras son relativamente bajas en comparación con el panorama general de las ciberamenazas, no se debe subestimar su impacto. Imaginemos lo que pasaría si las credenciales de un edificio de alta seguridad son robadas por una herramienta genérica de malware y luego vendidas en el mercado negro. O el sistema de soporte vital de un edificio sofisticado se congela porque los procesos esenciales han sido encriptados por otra cepa de ransomware. La lista de posibles escenarios es interminable”, insistía Kirill Kruglov, investigador de seguridad de Kaspersky ICS CERT.
Y no son complejas hipótesis de futuro: hace ahora un año se hizo público que la constructora francesa Ingerop (especilizada en edifcación, medio ambiente, energía y agua) había sufrido un ciberataque en el que le habían robado 65 gigabytes de documentos confidenciales sobre infraestructuras relacionada con la seguridad, incluidos datos de centrales nucleares, prisiones y redes de tranvías del país.
Por eso, aseguran los expertos de Kaspersky, aunque antes las empresas vinculadas a estos sectores podían confiar en solicitar asesorías y seguimiento a firmas externas con programas genéricos de seguridad, ahora se necesitan desarrollos propios aplicados a la complejidad del sistema industrial.
“Desde hace unos tres años los ejecutivos de las grandes compañías han empezando a darse cuenta de la importancia de invertir en ello”, decía Dale Peterson, CEO de Digital Bond y consultor experto en estas herramientas, que cree que es necesario “ajustar las expectativas” a la hora de acometer las inversiones y ser realista: “Lo que instales hoy, tendrá que ser sustituido dentro de dos años”. La velocidad en el cambio de los ataques y la respuestas es innegable y por eso el mercado es algo confuso, pero para él el primer paso indiscutible es que las empresas hagan un inventario de todos sus activos físicos y digitales para saber, de verdad, qué necesitan proteger.
“Como en muchas otras áreas, el marketing aquí es la clave”, bromeaba sobre el escenario Patrick Miller, maning partner de la consultora de protección de infraestructura críticas Archer, en la que confían entre otros la química Dow o la filial amerciana de Iberdrola. “Si intentas convencer a la alta dirección de la necesidad de invertir en ciberseguridad, les cuesta aceptarlo porque lo ven demasiado lejos”, explicaba. ¿Su receta? Traducirlo en sinónimos tan prácticos como reales: “Reducción de riesgos, mejora de la prevención de pérdidas, eficiencia operacional, reducción del tiempo de recuperación, mejora de procesos…”. Todo eso, aseguraba Miller, son derivaciones en positivo de estar debidamente protegido.
Inmunizar con islas
Visto el diagnóstico, ¿cuál es la receta de Kaspersky para proteger la industria y las infraestructuras críticas? Lo que ellos llaman ciberinmunidad y que se basa, en palabras de su CEO “en hacer tan difícil el ataque que no merezca la pena llevarlo a cabo”. Es una balanza: si lo que hay que invertir para hacerse con una central eléctrica es superior a lo que se puede obtener, el negocio no funciona.
Para lograrlo han diseñado un nuevo sistema que aisla en nódulos independientes cada una de las partes de, por ejemplo, una planta hidráulica. Así, las turbinas tendrían su propio cortafuegos de seguridad, los motores otros, etcétera. De esta forma, aunque una parte de la infraestructura se viese afectada, saltarían las alarmas y quedaría aislada, con lo que el contagoio no podría afectar al resto del ecosistema productivo. Cada isla se comunica con las otras para funcionar con normalidad pero, simplificando la solución, no comparten los mecanismos de defensa y se bloquean en caso de vulnerabilidad.
“Tenemos qe proteger los sistemas que ya existen con herramientas como esta, pero lo más importante es que los nuevos se protegan desde el diseño”, instaba Kaspersky. Tal y como explica a INNOVADORES Andrey Doukhavalov, responsable de Future Technologies en Kaspersky Labs, desde su prisma, la información “no debe estar protegida, sino ser inmune, capaz de resistir las amenazas”. Y para eso, la colaboración con otros actores del mercado (los fabricantes de sensores y sistemas de toda clase, quienes proveen las redes de acceso, etc.) es un paso imprescindible. “En el caso de los coches ya tenemos alianzas con distintos fabricantes para trabajar juntos en el diseño y la seguridad del coche contectado”, explica.
Y toda preocupación es poca, porque tal y como expuso Cheng Xuehong, adjunta a la dirección del insitituto de ciberseguridad chino, “los ciberataques industriales son una cuestión de estado” porque ponen en riesgo no solo su negocio, sino su reputación. Y en el caso de las infraestructuras críticas, se pone en tela de juicio la capacidad de gobiernos y administraciones de proteger los datos y el servicio hacia sus ciudadanos.
