La crisis económica y la deslocalización de los últimos años han supuesto duros varapalos para el tejido industrial español. A pesar de todo, hay 200.000 empresas en este país que emplean a unos dos millones de personas y que suponen el 16% del PIB. El problema es que la inmensa mayoría tiene sus sistemas fabriles desprotegidos. Las redes de datos que gestionan fábricas y centros de producción han vivido de espaldas al mundo, pero la digitalización, la proliferación de sensores y la llegada de la denominada industria 4.0 están abriendo a Internet estos cotos tradicionalmente cerrados, y por ahí llegan las complicaciones. La llegada de 5G acelerará aún más este proceso.
El sector secundario en España se recupera. Hay unas 200.000 empresas industriales que suponen el 16% del PIB
A día de hoy ya no existen sistemas industriales aislados que no se conecten, por ejemplo, con el ERP o con el proveedor de un controlador PLC para su mantenimiento, o que no permitan conectar en planta un USB que alguien trae del exterior. Esta ola digitalizadora está exponiendo a las compañías industriales de siempre a los peligros de la ciberdelincuencia que vive cualquier empresa del sector servicios. Es una tendencia irreversible porque las firmas industriales quieren (o tienen que) jugar en la economía del big data, optimizando su productividad a base de recoger datos de sus plantas para explotarlos y obtener beneficios.
Índice de temas
Un largo historial de ataques
Stuxnet, el gusano informático descubierto en 2010 y que espiaba y reprogramaba sistemas de control industrial SCADA, fue un primer aviso. Pero después de aquel incidente, que consiguió paralizar el programa nuclear iraní, ha habido más. Wannacry, el ransomware que saltó a la fama en todo el mundo un día de mayo de 2017, logró paralizar una semana una fábrica de coches en Francia por la imprudencia de un empleado. Otro incidente muy conocido de los últimos años tuvo como protagonista a la red eléctrica de Ucrania, que sufrió el ataque del malware BlackEnergy en 2016, dejando sin luz a 600.000 hogares durante varias horas.
Las redes que gestionan las fábricas han vivido de espaldas a Internet, pero el concepto de industria 4.0 cambia el escenario
Por esas fechas, los hackers consiguieron burlar el sistema de seguridad de una planta potabilizadora del Reino Unido y cambiar los niveles de las sustancias químicas empleadas para tratar el agua del grifo. Afortunadamente, nadie sufrió envenenamiento. Recientemente, en Noruega, el gigante en la producción de aluminio Norsk Hydro tuvo que hacer frente a un ataque con ransomware que le costó unos 40 millones de dólares. El incidente afectó a todas las operaciones de la compañía, que tuvo que pasar a manual muchos procesos que ejecutaba de forma automatizada.
También hace poco, uno de los proveedores de Maersk, una de las firmas de transporte marítimo más importantes del mundo, provocó una interrupción en su actividad que le causó unas pérdidas valoradas en 300 millones de dólares. Un informe de la Universidad Internacional de Valencia asegura que durante el 2018 se duplicaron en todo el mundo los ciberataques a sistemas de control industrial (ICS). La experiencia demuestra que estos ataques pueden colarse por los sitios más insospechados. Por ejemplo, en 2017, la red de ordenadores de una fábrica petroquímica europea se vino abajo debido a un virus ransomware diseminado por una máquina de café conectada al Wi-Fi interno.
Los sectores regulados se han puesto las pilas
El caso de la máquina de café es bastante ilustrativo. Los expertos dicen que en el entorno industrial uno de los grandes problemas es que los informáticos ni siquiera saben en muchos casos cómo está su red y qué elementos conecta. “Es difícil avanzar si primero no se clasifican todos los dispositivos que se tienen y se visualizan para comprobar dónde puede haber gaps de seguridad”, recalca Javier Modubar, CEO del mayorista Ingecom, especialista en la venta de soluciones de protección.
Una petroquímica europea estuvo contra las cuerdas por un ransomware diseminado desde una máquina de café
“Realmente los sistemas de control industrial (ICS) son la parte más crítica de toda la red y, paradójicamente, la más desactualizada y la menos preparada frente a ciberataques”, manifiesta María Penilla, del mayorista Exclusive Networks. Muchos grandes conglomerados industriales y de servicios públicos están empezando a tomar cartas en el asunto. Al fin y al cabo, de la salud de sus sistemas dependen servicios clave como la electricidad, el agua o las telecomunicaciones de una ciudad, una región o un país.
Lo confirma Eusebio Nieva, director técnico de Check Point en España, que alude a un informe encargado por su empresa en 2017 que decía que los sectores gasístico, eléctrico y petrolero eran los más avanzados en protección, mientras que el químico, el de transportes y el del agua andaban rezagados. “El sector del agua, por ejemplo, muestra datos alarmantes, ya que un 67% de los directivos no está concienciado sobre el efecto que puede tener un ciberataque”, explica Nieva. “Dentro de este mundo OT hay que distinguir entre empresas reguladas por normativas de infraestructuras críticas y que han avanzado mucho, y otras muchas empresas del sector industrial que, al no estar dentro del modelo regulado, todavía tienen que avanzar”, recuerda Javier Modubar.
Cruda paradoja
En líneas generales, se dibuja una cruda paradoja: todavía hay mucha industria desprotegida, al tiempo que cada vez hay más industria conectada. Sin embargo, si nos fijamos en empresas más pequeñas, el desconocimiento de la red es generalizado y, por tanto, las oportunidades para el sector informático son inmensas. Borja Pérez, country manager de Stormshield, proveedor de soluciones de protección para redes corporativas, confirma que la llamada seguridad OT, la que se aplica a entornos y procesos industriales, es por el momento más tendencia que realidad.
Muchos CIO del sector industrial ni siquiera saben hoy cómo está su red y qué elementos conecta
Tampoco cree que el mercado haya explotado María Penilla, del mayorista Exclusive Networks y encargada de promover en España la marca Nozomi, fabricante de appliances dirigidos a clientes del sector secundario. En todo caso, Penilla dice que los gerentes y los directores de sistemas de las empresas industriales son muchos más receptivos que antes. José Luis Paletti, ingeniero preventa de Panda, asegura sin ningún atisbo de duda que los CIO de las compañías industriales han asumido el reto. Además, Paletti recuerda que los ataques a las fábricas han venido produciéndose desde antes incluso de la popularización de Internet y rememora la explosión de un oleoducto siberiano en 1982 causado por un troyano instalado en el sistema SCADA que controlaba.
Empieza a haber movimiento
En Accenture están notando que el negocio de la ciberseguridad para entornos industriales empieza a moverse. “En los últimos 18-24 meses estamos viendo cómo las grandes empresas tienen como punto relevante de su roadmap de seguridad acometer proyectos en el entorno OT”, explica , managing director de Accenture Security en España. El directivo apunta también que la Ley de Protección de Infraestructuras Críticas (PIC), que data de 2011, y los nuevos entornos regulatorios han acelerado este proceso.
Por el momento, las soluciones para ayudar a las firmas industriales, grandes y pequeñas, a protegerse vienen en muchos casos de startups y compañías creadas ad-hoc. Es el caso de Nozomi Networks, fundada en 2013 por dos ingenieros de la eléctrica italiana ENI y que en los últimos meses está abriendo oficinas en varios países. Los appliances de Nozomi Networks, que se conectan a los switches y la infraestructura de red de los clientes, permiten a los informáticos visualizar el estado de la red y detectar disfunciones, alertando de cambios en los procesos de controladores PLC o de los sistemas SCADA, tan habituales en entornos fabriles. “Si se te cuela un correo de spam es molesto, pero en la industria si se te cuela un virus te paraliza la producción y eso es muy grave”, asegura Vesku Turtia, responsable de Nozomi en España.
Lo primero: cartografiar la red
Para muchos, la llegada masiva de sensores que reportan información a los sistemas TI para un mejor control de la fabricación, y, más en general, el desembarco del IIoT (el IoT aplicado a la industria), son una verdadera amenaza. Pero no hay que irse muy lejos a la hora de diseñar una política de seguridad en un cliente industrial. Entre otras cosas porque la llamada industria 4.0 todavía está en ciernes y no ha sido adoptada por muchas compañías. Antes hay otras prioridades que sí son compartidas por muchas firmas del sector secundario.
Según Borja Pérez, una fundamental es saber qué hay en la red OT, lo que es complicado muchas veces por el crecimiento desorganizado de la misma, con controladores PLC de distintos fabricantes, por ejemplo. “Lo primero que tienen que hacer muchos clientes es cartografiar su red, después segmentarla y entonces empezamos a hablar de soluciones específicas de ciberseguridad”. José Luis Paletti, de Panda, recuerda que se pueden encontrar ejemplos de sistemas de control SCADA que estén visibles e incluso accesibles desde Internet. Son sistemas que no tienen relación con las infraestructuras críticas sobre las que los expertos en seguridad ponen más atención, pero que al final se convierten también en una puerta de entrada. Es como la máquina del café que acabó paralizando los ordenadores de la petroquímica europea en 2017.
Por su parte, María Penilla dice que la aproximación que hay que hacer a la seguridad industrial dista de la que se hace en otros sectores. “En la red IT la prioridad es securizar datos y accesos. En la red OT la primera y única prioridad es mantener la disponibilidad”. Ella habla de sacar adelante “proyectos de visibilidad”. Saber lo que se tiene para construir la mejor defensa. De otra manera, muchas inversiones serán en balde.
Los puntos más débiles de las fábricas
1. El desconocimiento de lo que ocurre en la red y la falsa percepción de “estar aislados” son las principales debilidades que exhiben los equipos que protegen los entornos industriales, y las que mejor van a aprovechar los delincuentes. En muchos casos, los CIO no disponen de un inventario de activos actualizado, y es muy difícil defender aquello que ni siquiera se sabe que existe.
2. Otro problema son los proveedores que tienen acceso físico y digital a las fábricas y a los sistemas, y que muchas veces dejan puertas abiertas.
3. Por otro lado, existe el hándicap de que en muchas empresas hay un gran número de máquinas y sistemas antiguos y gobernados por un sistema operativo desactualizado, que probablemente lleva años sin parchearse y acumulando vulnerabilidades. Es otro talón de Aquiles que van a aprovechar los malos. En este sentido, no hay que olvidar que Windows XP, un sistema que no tiene soporte desde 2014, todavía gestiona mucho equipamiento industrial, y por lo tanto es un coladero para los ciberdelincuentes.
El sector industrial español, en números
La crisis económica y la deslocalización de los últimos años han supuesto duros varapalos para el tejido industrial español. Se calcula que la Gran Recesión se llevó consigo unas 50.000 empresas industriales de este país, así como medio millón de empleos. Eso sí, con la recuperación económica vivida a partir de 2015 las cosas van a mejor también en el sector secundario. En la actualidad, la industria de este país ha vuelto a los niveles precrisis y ya supone el 16% del PIB, aunque sigue alejada del 20% que representaba a finales de los años 90.
Asimismo, el tejido se ha estabilizado en torno a las 200.000 empresas, el 6% del total. La industria española se concentra en el norte (País Vasco y Navarra) y en todo el corredor del Ebro, aunque hay también focos de actividad en Madrid o Valencia, por no hablar de los despliegues que los grandes fabricantes de coches han hecho en ciudades periféricas como Vigo o Valladolid. De hecho, el automóvil y toda la industria auxiliar que conlleva es la joya de la corona del sector secundario nacional.