El 'ransomware' es el principal vector de ataque a las infraestructuras críticas
Un estudio anual de Dragos revela que es necesario mejorar mucho la protección de los sistemas industriales. Es posible que haya más regulaciones si no lo hacen.
El ransomware fue el principal vector de ataque a las infraestructuras críticas en 2021, según un informe de Dragos, empresa líder en ciberseguridad industrial. Casi dos tercios de esos ataques (65%), estaban dirigidos al sector manufacturero, según ha revelado la empresa en su revisión anual de las ciberamenazas a las que se enfrentan las organizaciones industriales, publicada el pasado miércoles.
"Puedes combinar todos los demás sectores y no llegar a que la industria se vea afectada", ha explicado Robert M. Lee, director general de Dragos, en una sesión informativa celebrada antes de la publicación del informe.
"Nuestra evaluación es que los autores y grupos de ransomware han descubierto que dirigirse a organizaciones industriales es muy beneficioso", observó. "No sólo consiguen que la gente pague más rápido porque están haciendo caer las operaciones, sino que también consiguen que paguen más, porque son las joyas de la corona del negocio".
Más de la mitad de los ataques de ransomware industrial (51%) fueron lanzados por dos grupos de amenazas —Conti y Lockbit 2.0— y el 70% de esas incursiones se dirigieron a objetivos de fabricación, según el informe, que aspira a hacer por la ciberseguridad industrial lo que Verizon hace anualmente por las violaciones de datos.
Lee descontó que los ataques de ransomware están disminuyendo. "Ha disminuido el número de personas que informan al gobierno, pero no ha disminuido el número de casos reales", dijo.
Los operadores de infraestructuras críticas siguen sin estar preparados para el ransomware
El informe identificó las áreas en las que los operadores de infraestructuras críticas deben mejorar la ciberseguridad.
- Mejor visibilidad de las redes de operaciones. El 86% de las empresas tenían una visibilidad limitada o nula de sus entornos de sistemas de control industrial. Esto puede dificultar la detección, clasificación y respuesta a gran escala. Lee advirtió que el informe sólo incluye a las empresas que reciben servicios de Dragos. "La cifra en toda la comunidad sería mucho mayor", afirmó.
- Mejor seguridad perimetral. El 77% de las empresas atendidas por Dragos tenía problemas de segmentación de la red. "Los clientes maduros que se presentan tienen una infraestructura muy porosa en la que es casi trivial pasar de una red de TI —ya sea la suya o la de un proveedor de servicios— a su red de operaciones", señaló Lee.
- Mejor control de las conexiones externas a los entornos ICS. El 70% de las organizaciones tenía conexiones externas desde los OEM, las redes de TI o Internet a sus redes de OT, más del doble que en 2020.
- Mejor separación de la gestión de usuarios de TI y OT. El 44% de las organizaciones tienen credenciales compartidas entre sus redes de TI y OT. "En muchos de los casos de ransomware que tratamos, alguien compromete la red de TI, utiliza las credenciales compartidas y acaba en la red de operaciones, lo quiera o no, y luego causa destrucción en esos entornos de operaciones", explicó Lee.
Los actores de la amenaza persisten en los sistemas
Lee también señaló que una orden ejecutiva sobre ciberseguridad aplicada por la Administración Biden en mayo de 2021 tuvo un impacto beneficioso en la ciberseguridad industrial, especialmente en el sector eléctrico, donde unas 100 empresas comenzaron a desplegar tecnologías para mejorar la visibilidad de sus entornos de operaciones.
"La mayor parte de las infraestructuras del mundo no están supervisadas de ninguna manera, por lo que cuando los adversarios se introducen en los entornos de operaciones, es muy difícil encontrarlos y muy difícil remediarlos", dijo Lee. "Muy a menudo las amenazas con las que nos encontramos permanecen en los entornos durante meses, si no años, sin ser detectadas".
Lee añadió que el futuro del sector industrial pasa por una mayor regulación en materia de ciberseguridad si no mejora su rendimiento. "Probablemente haya un plazo de uno o dos años para que la gente se ponga las pilas", dijo. "De lo contrario, los gobiernos se limitarán a regularlo. No pueden permitirse que la seguridad nacional quede en manos de un sector privado que ignora el problema."
