Principales riesgos en entornos industriales - ITCL

El creciente número de funcionalidades y conectividad de los equipos que puede encontrarse en un entorno industrial aporta muchos beneficios. Sin embargo, esta realidad también ha provocado un incremento de los riesgos a los que están expuestos. Como consecuencia, tanto la cifra de incidentes como la complejidad de los mismos aumentan año tras año.

Por ello, resulta fundamental que las empresas conozcan los riesgos a los que están expuestas para que puedan adoptar las contramedidas que los anulen y/o minimicen. A continuación, presentamos una recopilación de algunos de los principales riesgos en entornos industriales y la solución a dichas amenazas.

Arquitectura de red

Un error muy común en la arquitectura de red de entornos industriales es no separar la red de control de la red corporativa. Esto implica un riesgo de seguridad dado que los problemas que surjan en una red afectarán a la otra. Pero la segmentación de la red no es suficiente, también es necesario establecer zonas desmilitarizadas (DMZ), disponer de cortafuegos correctamente configurados o utilizar redes privadas virtuales (VPN), entre otras medidas.

No disponer de mecanismos que monitoricen y registren las actividades que se realizan en la red es otro de los errores típicos. Éstos son capaces de detectar comportamientos anómalos e incluso llevar a cabo ciertas acciones para proteger la red. Además, en caso de sufrir un incidente, van a permitir investigarlo a posteriori mediante el análisis de la información que hayan registrado.

Equipos

Muchas veces no se realiza una gestión adecuada del software de los equipos industriales, ya sea por evitar detener el proceso productivo o por temor a que pueda haber algún problema. También la ausencia de revisiones periódicas para conocer y aplicar nuevas actualizaciones o parches de seguridad en los equipos entraña un riesgo notable. En ocasiones, no es posible realizar actualizaciones simplemente porque el fabricante del equipo ha dejado de dar soporte y, por tanto, las vulnerabilidades que surgen no son debidamente corregidas.

Asimismo, otro de los riesgos son las configuraciones por defecto, las cuales están diseñadas para que la puesta en marcha de los equipos sea rápida y sencilla. Sin embargo, no suelen habilitar las características de seguridad que hayan sido implementadas, como por ejemplo el uso de protocolos seguros. Además estas configuraciones por defecto, credenciales incluidas, pueden estar disponibles en Internet.

Gestión de cuentas

No siempre los equipos están protegidos con contraseña y en muchas ocasiones se utilizan credenciales por defecto, las cuales se pueden obtener o adivinar muy fácilmente. Es muy común el uso de contraseñas débiles o que no son renovadas desde hace mucho tiempo. Además, es habitual que solo se disponga de una cuenta genérica o que varias personas compartan la misma, dificultando la trazabilidad de las acciones.

También conlleva un riesgo muy importante no eliminar cuentas de usuario cuando ya no son necesarias. Por ejemplo, la de antiguos empleados o la que se utilizó en cierta ocasión para realizar un mantenimiento remoto. La ausencia de revisiones periódicas para comprobar qué usuarios tienen acceso a los equipos y con qué permisos puede hacer perpetuo un punto de entrada para el atacante.

Dispositivos externos

Por muy aislada que esté la red de control, la conexión de dispositivos externos en ella es prácticamente inevitable. Por ejemplo, cuando se utilizan ordenadores portátiles o memorias USB para actualizar el firmware de un PLC o para almacenar una copia de seguridad. Estos dispositivos pueden haber sido utilizados previamente en otras redes y estar infectados por cualquier tipo de malware. Si no se analizan con un antivirus actualizado, pueden terminar infectando todos los equipos de la red.

El almacenamiento de información sensible en estos dispositivos supone otro riesgo si ésta no está convenientemente protegida. En ese caso, la ausencia de procedimientos de borrado seguro y la pérdida o robo de estos dispositivos pueden ocasionar un grave problema a la organización.

Trabajadores

El último de los riesgos de esta lista es probablemente el mayor de todos y está relacionado con los trabajadores de la empresa. Ellos utilizan las nuevas tecnologías diariamente pero en muchas ocasiones desconocen lo que implican sus acciones y los riesgos a los que exponen a la organización. Algunas de estas actividades habituales son el uso del móvil personal para asuntos laborales, la conexión de una memoria USB al equipo o la apertura del archivo adjunto de un correo electrónico.

El personal es el eslabón más débil de la cadena y por tanto la principal vía de entrada de problemas en la organización. El porcentaje de ciberataques cuyo origen está en los propios empleados es cada vez más alto, lo que hace imprescindible su concienciación para minimizar las posibles amenazas.

¿Qué puedo hacer para proteger mi organización?

Un ciberincidente puede acarrear graves consecuencias, desde pérdidas económicas o daños en la imagen de la organización hasta incluso pérdidas humanas. Por tanto, es necesario tomar medidas para reducir los riesgos tanto como sea posible.

Desplegar las mismas soluciones de seguridad en entornos industriales que las usadas en entornos IT no es la mejor opción por las propias características de los equipos y sus comunicaciones. Tampoco existe una única solución que sirva para todo y garantice la seguridad ahora y en el futuro. Sin embargo, existen estándares y guías de buenas prácticas que las empresas pueden aplicar para mejorar su protección, como por ejemplo la norma IEC 62443 y la publicación NIST SP 800-82. Y además es necesario considerar la ciberseguridad como un proceso de mejora continua.

Implementar soluciones de ciberseguridad para la industria es una de las áreas de trabajo de ITCL. Por ejemplo, el proyecto Databackoff, en el que uno de los objetivos era garantizar la seguridad de los datos para los procesos productivos.