Ciberseguridad aplicada a Sistemas de Control Industrial (ICS)

Adiel Lizama
February 27, 2024
4
min
Ciberseguridad aplicada a Sistemas de Control Industrial (ICS)

Los sistemas de control industrial (ICS) son una parte esencial de la infraestructura moderna, tales sistemas incluyen el uso de máquinas, software y tecnología en procesos industriales. Los ICS modernos se pueden dividir en dos componentes clave: OT e IT, las Tecnologías Operativas (OT) cubren sensores, mecanismos, y automatización de procesos industriales entre otros, Tecnologías de la Información (TI) es el área que se encarga de la gestión de datos, servidores, y comunicación. En la actualidad, el uso conjunto de ambos forma una especie de simbiosis necesaria para enfrentar la creciente demanda de productos y servicios. Los ICS están presentes en diversos procesos críticos, como manufactura, energía, minería, y muchos otros.

ICS y su uso en conjunto con las redes existen desde hace años, a menudo aislados de Internet, dándoles un espacio aéreo que los protege de los ataques cibernéticos. En los últimos años se ha vuelto común el uso de tecnologías que emplean Internet, como IoT (Internet de las cosas), gestión remota y monitoreo, etc. Con ello, se obtienen indicadores esenciales para la mejora continua de los procesos, abriendo también la industria a nuevos riesgos.

Desafíos de seguridad ICS

  • Falta de conciencia y capacitación: La falta de conciencia y capacitación enfocada a la ciberseguridad y no tener una comprensión de los riesgos podría llevarnos a no tomar en cuenta la amenaza de un ciberataque, ignorando el impacto y consecuencias que estos podrían tener.
  • Alta disponibilidad: Muchos ICS operan en tiempo real, por lo que no se pueden permitir retrasos o interrupciones, lo que limita el tipo de medidas de seguridad que se pueden utilizar. La aplicación de actualizaciones podría significar detener el ICS, y la aplicación del cifrado de datos podría retrasar la transmisión de datos importantes.
  • Sistemas antiguos y compatibilidad: Dentro del ICS, las máquinas/equipos deben tener la robustez necesaria para poder seguir operando durante años, como resultado, podríamos encontrar sistemas que no son aptos para enfrentar las ciberamenazas modernas. Actualizar dichos sistemas mientras se mantiene la compatibilidad con el resto de la operación es un desafío importante.
  • Enfoque a la detección: De lo que ya se ha mencionado, detener los procesos industriales para aplicar los parches necesarios puede ser una tarea complicada, dentro de los sistemas de alta disponibilidad es necesario trabajar sin interrupciones, se vuelve común trabajar en la detección de ataques antes de las medidas preventivas.

Vulnerabilidades comunes

  • Credenciales predeterminadas: Si un atacante puede identificar los sistemas y las versiones utilizadas por los equipos e interfaces industriales, lo más probable es que intente usar las credenciales predeterminadas para obtener acceso no autorizado a sistemas o redes críticos. Una búsqueda rápida en Internet es suficiente para encontrar las credenciales necesarias
  • Movimiento Lateral: Un ataque exitoso a la red de un ICS podría conducir a un acceso no autorizado, lo que podría conducir a un movimiento lateral en la red de la compañía, el atacante podría moverse entre ambas redes.
  • Malware: Con el uso generalizado de internet viene la posibilidad de ser infectado por malware. Troyanos, gusanos, ransomware, limpiaparabrisas, así como ataques DDoS y botnets son algunos ejemplos de los riesgos latentes

Estudio de caso

Planta petroquímica en Arabia Saudita: En 2017 un grupo de hackers pudo desplegar el virus informático “Tritón” en las instalaciones de una planta petroquímica en Arabia Saudita. Los ciberdelincuentes apuntaron a la red de tecnologías operativas (OT) logrando acceder a la red de la planta y comenzaron a trabajar en reconocimiento, movimientos laterales, y mantener presencia, luego de un año accedieron a los sistemas instrumentados de seguridad (SIS) que se encargan de la seguridad física de los procesos que se llevaron a cabo en la planta.

Una vez logrado el acceso al SIS, los atacantes se enfocaron en desplegar el malware “Triton”, el cual se enfoca en deshabilitar los mecanismos de seguridad física que se encargan de detener un proceso cuando no se cumplen las condiciones de seguridad, el mal funcionamiento del SIS podría derivar en daños físicos, personal lesionado e incluso la pérdida de vidas.

Afortunadamente, el SIS inició el proceso de apagado seguro cuando detectó que falló el código de validación, iniciando una investigación que llevó al descubrimiento de este Malware.

Protección de ICS y mejores prácticas

Asegurar los ICSs implica identificar los vectores de riesgo de la empresa y hacer un plan específico para lo que podría ser necesario, considerando las limitaciones que pueda tener la tasa de producción, a continuación se muestra una lista de mejores prácticas:

  • Segmentación de redes: El aislamiento de redes y equipos críticos reduce el impacto de posibles brechas de seguridad al limitar su movimiento lateral.
  • Acceso remoto seguro: Cuando el acceso remoto es necesario, se recomienda implementar mecanismos seguros, como el uso de VPNs o MFA, también incluye la creación de acceso de confianza cero y monitoreo constante para identificar acciones sospechosas.
  • Acceso físico limitado: Limitar el acceso físico a ciertos sistemas en función de las funciones de trabajo de los empleados reducirá el riesgo de un ataque. Antes de que Internet se volviera tan común, uno de los métodos para afectar a los ICS era utilizar dispositivos USB infectados como el caso de Stuxnet.
  • Actualizaciones y administración de parches: Manténgase al tanto de las actualizaciones que sus equipos requieren, manténgalos siempre en las últimas versiones.

Conclusión

Con la modernización de los procesos industriales viene la implementación de servicios de internet, que no sólo nos ayudan a mantener la gestión y administración remota de sistemas sino que también nos permiten incrementar la productividad. Los ICS se encuentran en todas partes desde sistemas de aire acondicionado hasta suministros de energía, son parte de nuestra vida cotidiana, por lo que al ser sistemas tan críticos, es importante llevar a cabo las medidas necesarias para asegurar su correcto funcionamiento, es esta misma importancia la que los convierte en blanco de aquellos delincuentes que encuentran en TI un medio para llevar a cabo sus fechorías.

El uso de un conjunto de buenas prácticas, así como la capacitación constante de concientización, reducirá en gran medida los vectores de riesgo. La seguridad es un camino constante más que un fin, por lo que es necesario mantener un monitoreo continuo, así como mantener actualizadas las máquinas e interfaces.

Referencias

[1] Mejores Prácticas de Seguridad ICS. (n.d.). Recuperado de Check Point: https://www.checkpoint.com/cyber-hub/network-security/what-is-industrial-control-systems-ics-security/ics-security-best-practices/

[2] Sistemas de Control Industrial. (n.d.). Recuperado de CISA: https://www.cisa.gov/topics/industrial-control-systems

[3] MITRE. (2022, 13 de octubre). Estudio de caso de riesgo cibernético a la misión. Recuperado de Centro de Información Técnica de Defensa: https://apps.dtic.mil/sti/trecms/pdf/AD1183008.pdf

[4] Nueva instalación de infraestructura crítica golpeada por el grupo detrás de TRITON. (2019, 11 de abril). Recuperado de trendmicro: https://www.trendmicro.com/vinfo/pl/security/news/cyber-attacks/new-critical-infrastructure-facility-hit-by-group-behind-triton

[5] Rebultan, M. A. (2023, 12 de junio). Riesgos comunes de ciberseguridad para los sistemas ICS/OT. Recuperado de ISACA: https://www.isaca.org/resources/news-and-trends/isaca-now-blog/2023/common-cybersecurity-risks-to-ics-ot-systems#:~:text=Some%20of%20the%20most%20common,intellectual%20property%20and%20financial%20information.

[6] Wangsness, C. (2023, julio). TI vs OT: en qué se diferencian la tecnología de la información y la tecnología operativa. Recuperado de ONLOGIC: https://www.onlogic.com/company/io-hub/it-vs-ot-how-information-technology-and-operational-technology-differ/amp/?psafe_param=1&cq_src=google_ads&cq_cmp=20319707025&cq_con=150403687603&cq_plac=&cq_net=g&utm_term=&utm_campaign=US-+Search+-+Blog+DSA&utm_sou

[7] ¿Qué es un Sistema de Control Industrial (ICS)? (n.d.). Recuperado de Check Point: https://www.checkpoint.com/cyber-hub/network-security/what-is-industrial-control-systems-ics-security/

[8] Zeifman, I. (2023, 18 de julio). Seguridad ICS: Desafíos Críticos y Mejores Prácticas de Seguridad. Recuperado de STERNUM: https://sternumiot.com/iot-blog/ics-security-critical-challenges-and-security-solutions/

Share this post

More blog posts

NORMA ISO 27001:2022 — Una nueva versión en ciberseguridad
Odalys Vasquez
February 20, 2023

NORMA ISO 27001:2022 — Una nueva versión en ciberseguridad

ISO 27001 es el estándar internacional de seguridad de la información que ayuda a las organizaciones, sin importar su categoría o tamaño, a administrar la seguridad.
BYOD y Equipos móviles: estrategias para salvaguardar su lugar de trabajo digital
Jacobo Arzaga
April 29, 2024

BYOD y Equipos móviles: estrategias para salvaguardar su lugar de trabajo digital

BYOD, o Traiga su propio dispositivo, ocurre cuando se le permite usar el dispositivo de su propiedad personal, en lugar de estar obligado a usar un dispositivo proporcionado oficialmente por la compañía.
Typosquatting
Hector Monjardin
April 29, 2024

Typosquatting

El typosquatting es una forma de ataque de ingeniería social que aprovecha los errores de mecanografía cuando intentamos ingresar a dominios legítimos.
Back to blog