Nuevos Retos de la Ciberseguridad Industrial

Jesús A. Illescas Ramírez
Nordstern Technologies SA de CV, México,
jillescas@nst.mx

RESUMEN: El sector industrial es caracterizado por estar a la vanguardia de la integración de nuevas tecnologías que permitan aumentar la eficiencia operativa, y a su vez, reducir el riesgo a la salud y el impacto al medio ambiente. México también forma parte de esta evolución tecnológica integrando: conectividad, procesamiento de datos, analíticas de la información, machine learning, automatización avanzada, entre otros recursos, a sus procesos industriales permitiendo ser competitivos y efectivos ante las necesidades del mercado, sin embargo, contar con estos beneficios tecnológicos involucran retos particulares como la especialización de recursos humanos y la ciberseguridad en los sistemas de control industrial.

PALABRAS CLAVES: ICS, ciberseguridad, Sistemas de Control Industrial, Industria 4.0, Nordstern, OT.

CONTEXTO ACTUAL

Nos encontramos en una época en donde los criminales no tienen que exponerse para cometer actos ilícitos, ya que pueden hacerlo a través de redes computacionales e internet, es un tema cada día más relevante para todos los que interactuamos con la digitalización.

Hoy en día, desde un teléfono celular es posible realizar transferencia de dinero, enviar o almacenar información personal y hasta encontrar pareja; desde una computadora se pueden investigar cientos de temas y llevar a cabo videoconferencias; desde los servidores de compañías bancarias se procesan gran cantidad de datos monetarios en cortos periodos de tiempo y en el sector industrial se transfieren datos para tener métricas reales de los productos finales. Las posibilidades son muchas y los beneficios significativos, esta transformación digital implica integrar nuevas tecnologías con tecnología de legado que no cuenta con actualizaciones, o bien, dejó de tener soporte, tal como sucedió con Windows 7, el pasado 14 de enero del 2020 [1].

Esta transformación digital, ante los ojos de un ciber-criminal, es un boletín informativo con el mensaje “La industria está evolucionando, es vulnerable y puede dar gran rentabilidad ante un ciberataque”.

¿POR QUÉ DEBO PROTEGERME?

La ciberseguridad en los proyectos de digitalización para sistemas de control industrial se ha vuelto un tema crucial considerando que México es el tercer país con más ciberataques justo después de Estados Unidos y Reino Unido [2], hablemos de casos reales de ataques cibernéticos a dispositivos industriales.

STUXNET, 2010.

En enero de 2010, en una planta nuclear en Natanz, Irán, inspectores de la Organismo Internacional de Energía Atómica (OIEA) notaron con incredulidad que las centrifugadoras usadas para enriquecer uranio estaban teniendo un mal funcionamiento, este evento extraño se repitió cinco meses después en varias plantas del mismo país.

Realizando un análisis de causa raíz descubrieron que el responsable del evento fue un virus informático de tipo gusano, denominado Stuxnet quien “tomó el control de 1,000 máquinas que participaban en la producción de materiales nucleares y les dio instrucciones de autodestruirse.”[3].

Es el primer registro de que un ataque cibernético sea capaz de dañar infraestructura en el mundo real, pero ¿cómo es que llegó ese virus a los equipos de control de las centrifugadoras nucleares? Bueno, según la firma de seguridad cibernética Symantec, es probable que Stuxnet haya llegado a través de una memoria USB que fue insertada en un equipo conectado a la red, entrando así al sistema informático de la planta.

Una vez que este malware ingresó a un equipo de trabajo, como segundo paso, se encargó de buscar el software responsable de controlar la velocidad de las centrifugadoras responsables de separar los diferentes tipos de uranio, como el uranio enriquecido, material clave para la generación de energía y para el armamento nuclear.

El tercer paso del gusano fue realizar el ataque, reprogramando las centrifugadoras para aumentar peligrosamente su velocidad durante 15 minutos, antes de volver a su velocidad normal, la segunda parte del ataque fue disminuir la velocidad durante 50 minutos, estos cambios de velocidades fueron realizados múltiples veces durante varios meses, ocasionando la destrucción por deterioro de 1000 máquinas infectadas.

Durante el ataque cibernético, fueron afectadas el 20 por ciento de las centrifugadoras nucleares en la planta de Natanz quedando fuera de servicio.

Figura 1. Curva de madurez que muestra la evolución en la ciberseguridad OT con respecto a los servicios de Nordstern Technologies.

NOTPETYA, 2017.

El año 2017 fue marcado por infecciones de malware ransomware a escala mundial, como lo fue WanaCry 2.0 y por ataques en los que se debate si fue dirigido o fue un daño colateral como NotPetya, que paralizó los sistemas informáticos de empesas transnacionales como el grupo farmacéutico Merck y la compañía fabricante de confitería, alimentos y bebidas Mondelēz, mismos que presentaron documentos ante tribunales, alegando haber sido víctimas en dos ocasiones del malware NotPetya, que afectó a más de 1,700 servidores y 24,000 computadoras portátiles, además de detener la producción mientras el personal se enfrentaba a la recuperación del control de las computadoras.

Debido a este incidente, Mondelēz describe en un comunicado de prensa, el 6 de julio de 2017, que este ataque impactó los ingresos netos y netos orgánicos en un negativo del 2.3 y 2.4 puntos porcentuales [4], el costo de recuperación de este ataque se valuó en 100 millones de dólares.

Actualmente este incidente cibernético se llevó a juicio, en el que se exige a la aseguradora Zurich el pago de los daños causados por el incidente.

DOPPELPAYMER, 2019.

El 8 de noviembre de 2019 un virus informático de tipo ransomware llamado DoppelPaymer ingresó a los equipos de cómputo de la compañía más grande de México, Petróleos Mexicanos (PEMEX), el ataque afectó directamente al portal de logística de la compañía y las terminales de almacenamiento y distribución (TAD) quedaron fuera de operación.

El hacker o grupo de hackers exigían un pago de 4.9 millones de dólares para liberar la información que encriptó, a lo que PEMEX respondió con un retundo “no” al pago de esta suma, una decisión acertada ya que realizar el pago de este secuestro informático, no se garantiza que se pueda eliminar el malware o recuperar la información, de acuerdo a los reportes de la petrolera, la suma de equipos infectados llegó al 5 por ciento.

El Dr. Alfonso Durazno Montaño declaró que “no se registraron pérdidas porque afortunadamente el hackeo alcanzó un porcentaje menor de equipos que no contenían información relevante o estratégica para Petróleos Mexicanos” [5], la palabra clave de esta declaración es “afortunadamente”.

Estas nuevas amenazas cibernéticas en donde las compañías de gran nivel y con evidente transformación digital son el blanco clave para organizaciones criminales, crea una serie de cuestionamientos en la planeación para la integración de sistemas digitales en la industria, algunas son:

  • ¿Estoy listo para estas nuevas amenazas?
  • ¿Por dónde o cómo empiezo a protegerme?

Para la primera pregunta se tiene que realizar un ejercicio de evaluación del estado actual de la ciberseguridad, es decir, una radiografía de la protección cibernética implementada, puede que en este momento estés pensando que tu sistema de control industrial está seguro porque lo tienes aislado en una red local por lo que nunca está expuesto a internet; sin embargo, las ciberamenazas han evolucionado y hoy en día existen variantes de malware que encripta y secuestra datos sin tener que realizar una llamada de comando y control usando internet [6], es por ello que contar con un diagnóstico de cómo se encuentra mi red industrial es clave para estar preparado.

La segunda pregunta tiene como punta de lanza la evaluación anterior, si puedes conocer cómo se encuentra tu red industrial y te encuentras en el camino de la digitalización, debes comenzar con la segmentación de la red usando tecnología de protección como firewalls especializados, capaces de detectar y analizar protocolos industriales, así como de soportar condiciones rigurosas del piso de producción.

Después de esta acción clave puedes darle continuidad con la curva de madurez de seguridad OT [Figura 1.] (tu nivel de madurez contra tu capacidad de respuesta ante incidentes cibernéticos), este tipo de recomendaciones están basadas en marcos de referencia IEC 62443 [7] y NIST SP 800-82 [8].

REFERENCIAS

[1] https://www.microsoft.com/es-mx/windows/windows-7-end-of-life-support-information

[2] https://expansion.mx/tecnologia/2019/01/09/mexico-es-el-tercer-pais-con-mas-ciberataques

[3] https://www.bbc.com/mundo/noticias/2015/10/ 151007_iwonder_finde_tecnologia_virus_stuxnet

[4] https://ir.mondelezinternational.com/news-releases/news-release-details/mondelez-international-reports-q2-results-and-increases

[5] https://politica.expansion.mx/mexico/2019/11/14/el-hackeo-a-pemex-esta-totalmente-controlado-y-sin-consecuencias-dice-durazo

[6] https://blog.checkpoint.com/2015/11/04/offline-ransomware-encrypts-your-data-without-cc-communication/

[7] https://www.isa.org/intech/201810standards/

[8] https://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-82r2.pdf

ACERCA DEL AUTOR

Jesús Alexis Illescas Ramírez es un investigador y desarrollador de estrategias de ciberseguridad para sistemas de control industrial ICS en Nordstern Technologies. Ha desarrollado un laboratorio de ciberseguridad para tecnologías de operación basado en la arquitectura del modelo de Purdue con seguridad informática.

Estudió Ingeniería en Comunicaciones y Electrónica en la Escuela Superior de Ingeniería Eléctrica y Mecánica (ESIME), Zacatenco, del Instituto Politécnico Nacional. Le apasiona la ciberseguridad, el IoT, en su tiempo libre se dedica a leer, jugar videojuegos y desarrollar gadgets electrónicos. Se le puede contactar por LinkedIn y por correo electrónico: jillescas@nst.mx.

 

 

 

 

0
Compartir:

Dejar un comentario

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.