Los sistemas de control industrial (ICS) son parte de nuestra vida cotidiana. La expansión de Internet hace de los ICS una presa fácil para los ciberdelincuentes, según el informe de Kaspersky Lab.
Las exigencias empresariales del siglo XXI requieren la integración de los ICS con redes y sistemas externos. Desde discos duros o dispositivos USB flash infectados, hasta conexiones no autorizadas desde redes ICS a Internet mediante teléfonos personales o módems, y desde discos de distribución infectados obtenidos de los fabricantes hasta un infiltrado contratado, todos estos métodos están disponibles para ciberatacantes expertos que pretendan lanzar un ataque contra una red ICS física y lógicamente aislada.
Con el objetivo de reducir la posibilidad de sufrir un ciberataque, los sistemas de control industrial (ICS) se ejecutan en un entorno físicamente aislado. Sin embargo, no siempre es así. Según el Informe sobre el Ciberamenazas ICS de Kaspersky Lab, existen 13.698 redes ICS expuestas en Internet que probablemente pertenezcan a grandes organizaciones. El 91,1% de estas redes ICS tenían vulnerabilidades que podían ser explotadas remotamente, y el 3,3% de esas redes ICS contienen vulnerabilidades críticas y ejecutables de forma remota.
La exposición de los componentes ICS en Internet ofrece muchas oportunidades, pero también muchas preocupaciones en torno a la seguridad TI. Por un lado, los sistemas conectados son más flexibles para obtener reacción rápida a situaciones críticas o al aplicar las actualizaciones. Pero, por otro, la expansión de Internet ofrece a los ciberdelincuentes la oportunidad de controlar de forma remota los componentes críticos de los ICS, lo que puede derivar en daño físico de los equipos, así como en un potencial peligro para toda la infraestructura crítica.
En el futuro surgirán más ataques de este tipo. Esas 13.698 redes ubicadas en 104 países son sólo una pequeña parte del total de componentes ICS disponibles a través de Internet.
Para ayudar a las organizaciones que trabajan con Sistemas de Control Industrial a identificar sus posibles puntos débiles, los expertos de Kaspersky Lab han elaborado un informe sobre las amenazas ICS. El análisis se basó en OSINT (Open Source de Inteligencia) y la información de fuentes públicas como ICS CERT.
Las principales conclusiones del informe son:
– En total se han identificado 188.019 redes con componentes ICS disponibles a través de Internet en 170 países.
– La mayoría de los hosts con componentes ICS disponibles en remoto se encuentran en los EEUU (30,5% – 57.417) y Europa. En Europa, Alemania tiene una posición de liderazgo (13,9% – 26.142 hosts), seguido de España (5,9% – 11.264 hosts) y Francia (5,6% – 10.578 hosts).
– El 92% (172.982) de los hosts ICS disponibles de forma remota tienen vulnerabilidades. El 87% de estos hosts contienen vulnerabilidades de riesgo medio y el 7% de ellos contienen vulnerabilidades críticas.
– El número de vulnerabilidades en los componentes ICS se ha multiplicado por diez en los últimos cinco años: de 19 vulnerabilidades en 2010 a 189 vulnerabilidades en 2015.
– No todas las vulnerabilidades detectadas en 2015 han sido reparadas. Para el 85% de las vulnerabilidades publicadas hay parches y nuevo firmware disponibles; el resto no ha sido reparado o lo ha sido sólo de forma parcial, por distintas razones.
– El 91,6% (172.338 redes diferentes) de todos los dispositivos ICS disponibles de forma externa utilizan protocolos de conexión a Internet débiles, lo que abre la puerta para que los ciberatacantes lleven a cabo ataques man-in-the-middle.
“Nuestro análisis muestra que cuanto mayor sea la infraestructura de ICS, mayor es la oportunidad de los ciberdelincuentes de encontrar agujeros de seguridad graves. No es culpa de un único proveedor de software o hardware. Por su naturaleza, los ICS son una mezcla de diferentes componentes interconectados y muchos están conectados a Internet. No hay garantía de que el 100% de que una instalación ICS concreta no tendrá al menos un componente vulnerable en algún momento. Sin embargo, esto no significa que no haya forma de proteger una fábrica, una planta de energía, o incluso un edificio en una ciudad inteligente de los ciberataques” afirma Andrey Suvorov, jefe de seguridad de infraestructuras críticas de Kaspersky Lab.“Tomar conciencia sobre las vulnerabilidades de los componentes utilizados en el interior de una instalación industrial en particular es el requisito básico para la gestión de la seguridad de la instalación. Ese fue uno de los objetivos de nuestro informe: concienciar a los interesados” añade.
