Las redes de sistemas de control industrial se convirtieron en el blanco de los ciberataques

Los sistemas de control industrial en ambientes de fabricación-producción, energía, químicos y otros, están sufriendo cada vez más ciberataques. Los atacantes saben el daño que pueden causar, es cosa de ver el reciente ataque producido a Norsk Hydro. 

Frente a los sistemas industriales, los atacantes tienen la capacidad de realizar daño potencialmente alto, desde usar back doors para obtener datos confidenciales, apagar la red con un ataque de ransomware, o incluso provocar situaciones peligrosas en líneas de producción. Los sistemas industriales son vulnerables, se pueden romper y causan daños físicos.

Muchos sistemas de control aún se ejecutan en sistemas operativos antiguos que los hacen vulnerables, y los ciberatacantes saben que es así y se aprovechan de la situación.

De acuerdo con las nuevas cifras del panorama de amenazas de Kaspersky Lab para sistemas de automatización industrial, uno de cada dos sistemas industriales muestra evidencia de atacantes que intentan realizar actividades maliciosas, en la mayoría de los casos, detectadas por software de seguridad. Los vectores de ataques son más o menos así:

Internet

Las cifras, basadas en datos anonimizados enviados a Kaspersky Security Network por clientes de la compañía de seguridad, revelan que el principal vector de ataque para estos sistemas es a través de Internet con hackers que buscan puertos y sistemas no seguros a los que puedan acceder.

En algunos casos, estos ataques basados ​​en Internet ni siquiera estarán dirigidos específicamente a redes industriales, pero la forma en que su configuración los deja abiertos a Internet significa que las campañas de autopropagación pueden encontrarlos fácilmente.

Dispositivos extraíbles

Estos se identifican como la segunda amenaza más prolífica para las redes industriales. En algunos casos, los sistemas no están conectados a Internet, pero ya sea intencionalmente o no, las unidades USB dañadas pueden hacer que los sistemas se infecten con malware.

Emails

El correo electrónico se posiciona como el tercer vector de ataque más común dirigido a estos sistemas. Estos ataques de phishing siguen siendo el método de ataque número uno utilizado por los grupos de piratería que se dirigen específicamente a las redes de organizaciones con fines de espionaje.

Las cargas maliciosas sueltan troyanos, back doors y keyloggers (registradores de tecleo) que permiten a los atacantes obtener acceso a la red, con operaciones de piratería sofisticadas como Sharpshooter, GreyEnergy y MuddyWater entre las que causan dolores de cabeza en las operaciones industriales.

También es posible que los correos electrónicos de suplantación de identidad (phishing) se envíen a los usuarios que ejecutan estos sistemas mediante campañas de botnets que no están dirigidas, pero, sin embargo, siguen causando daños y las organizaciones deben ser conscientes de los riesgos que enfrentan si sus sistemas no son seguros.

El Awareness como principal herramienta 

«A pesar del mito común, la principal fuente de amenaza para las computadoras industriales no es un ataque dirigido, sino un malware de distribución masiva que ingresa a los sistemas industriales por accidente, a través de Internet, a través de medios extraíbles como memorias USB o correos electrónicos, dijo Kirill Kruglov, investigador de seguridad en Kaspersky Lab.

«Sin embargo, el hecho de que los ataques sean exitosos debido a una actitud informal hacia la higiene de la seguridad cibernética entre los empleados significa que potencialmente se pueden prevenir mediante la capacitación y la concientización del personal, esto es mucho más fácil que intentar detener a determinados actores de la amenaza», agrega.

Para ayudar a prevenir ataques exitosos contra redes industriales, los investigadores recomiendan actualizar regularmente los sistemas operativos y el software en la red industrial y aplicar correcciones de seguridad y parches cuando estén disponibles.

También se recomienda que el tráfico de red esté restringido en puertos y protocolos en el borde del sistema para evitar que el software malintencionado encuentre una forma de ingresar.