Gabriel Álvarez Corrada

Mientras aún había gente que felicitaba el año nuevo, a finales de enero, un señuelo de Aristeo era vulnerado por un atacante desconocido. En esta entrada haremos un breve relato sobre el análisis de dicha intrusión como muestra de las capacidades de Aristeo y de su habilidad para proporcionar una valiosa información predictiva a nuestros clientes. No se trata, por lo tanto, de un artículo técnico de una amenaza concreta o de un actor o grupo APT, sino de una muestra de las capacidades de Aristeo en referencia a su talento para la detección de actores y amenazas no detectados previamente. Para quien no conozca Aristeo, aquí va un breve resumen: Aristeo es una plataforma de inteligencia predictiva para combatir las ciberamenazas del ámbito industrial. Este ámbito mezcla hoy por hoy elementos OT, IT e IoT, por lo que es necesario que nuestra solución sea capaz de comprender e interpretar la información directamente relacionada con éstos. Aristeo genera su inteligencia estableciendo una red de sondas-señuelos diseñados con hardware industrial real, con la que captura las ciberamenazas del ámbito industrial, aprendiendo sobre ellas y detectando aquellas potencialmente más peligrosas. La utilización de hardware industrial real permite que las amenazas sean reales y asociadas de facto con estos entornos. Además, al estar expuesto 365 días al año a todas las ciberamenazas a nivel global, la información siempre es fresca y con el más alto grado de confianza. El concepto de señuelo es similar al de una placa de Petri en la que se cultivan virus y bacterias para aprender cómo se comportan estas amenazas. Gracias a este estudio, el ser humano puede desarrollar test de detección, vacunas, tratamientos para acabar con la infección, medidas de mitigación para reducir la sintomatología, etc. Dashboard de amenazas de Aristeo. 1. Antecedentes Era una fría mañana de enero cuando recibimos el aviso del sistema de alertas de Aristeo. Parte del sistema de un señuelo había caído. En ese momento nos pusimos manos a la obra para saber qué había pasado ¿un fallo en el sistema? ¿una actualización no esperada? ¿alguien le ha pegado una patada al cable? Pues no, lo que sucedió realmente es que alguien había entrado en la bahía de ingeniería de uno de los señuelos de Aristeo y se pasó de la raya, con lo que se cortó la conectividad y se acabó el problema. Esta situación de corte de conectividad deja actuar al atacante hasta que comience acciones maliciosas contra terceros fuera de nuestro control, lo que permite que los señuelos desplegados en Aristeo no sirvan como herramientas de ataque a terceros. 2. Post mortem Una vez vista la alerta, llegó el momento de analizar qué había ocurrido. Por un lado, en Aristeo, teníamos registros de varios accesos remotos exitosos vía RDP en diferentes días contra la bahía de ingeniería, pero, por otro, al revisar los logs de la propia bahía, observamos que no había ni rastro de estos. Lo primero que inferimos, por lo tanto, es que el atacante había borrado los logs del sistema para pasar inadvertido. Que el atacante no es un novato lo teníamos claro desde el principio. Nuestro RDP está bien configurado y actualizado, y la contraseña no es corta ni de diccionario. Hablamos de 20 caracteres de longitud en una contraseña para cuya comunicación utilizamos CredSSP + TLS 1.2 (preferentemente) para el cifrado de la conexión utilizando criptografía de curva elíptica. 2.1 ¿Cómo ha podido pasar? Como hemos comentado más arriba, con Aristeo detectamos accesos exitosos, pero cuando fuimos a revisar la máquina… nada. Nada en los logs de eventos dentro de la máquina. La intrusión no había ocurrido… pero en la papelera de reciclaje había una carpeta con un escáner de puertos bastante conocido entre los cibermalos, KPortScan. La carpeta, como se puede apreciar en la siguiente captura, tenía también dos ficheros de texto: uno, con nombre en francés, donde había información de posibles objetivos y otro, “results” donde figuraban las direcciones IP que intentó escanear el atacante del día 27 de enero. También hay librerías de Qt, un entorno de desarrollo, que no suponen en sí mismo un elemento malicioso o diferencial para detectar la amenaza. Obsérvese el fichero en francés. ¿Muy listos para borrar los logs y muy aficionados para dejar una herramienta en la papelera? Y, además ¿qué otras herramientas similares descargó el atacante? Ninguna. No se efectuó ninguna descarga de herramientas de hacking/auditoría (llamémoslo X), pero sí se descargó un software legítimo y común en el entorno empresarial: . Cualquiera puede ver ese software de acceso remoto ampliamente utilizado por las empresas para acceder a los PC de sus empleados en caso de necesidad (como una asistencia remota) y nadie se plantea que pueda ser un problema. Incluso puede estar instalado por defecto en muchos dispositivos, estén en una oficina o en una nave industrial. El problema es que no hay nada más. Nada. No hay registros de ningún tipo, no hay una referencia temporal, no hay direcciones IP, usuarios… Necesitamos ayuda. 2.2 Aristeo, ayúdanos En este momento un analista pierde opciones de saber qué ha sucedido. Sin embargo, si nos ponemos las gafas de Aristeo, el panorama es otro. Lo primero que hicimos fue comprobar si las direcciones IP detectadas accediendo de manera exitosa (con origen en Marruecos) tenían algún tipo de pasado en Aristeo o en otros sistemas de captura de amenazas (los más reconocidos en el sector). Nada. Direcciones IP limpias. Entonces, haciendo uso de la inteligencia proporcionada por Aristeo, comenzamos a buscar direcciones IP relacionadas, hallando actividad un mes antes de la primera intrusión. No la suficiente para vulnerar el sistema por fuerza bruta pero sí que hubo acciones coordinadas. A continuación, os mostramos una pequeña tabla con un ejemplo de lo detectado. Merece la pena recordar que las direcciones IP pueden ser consideradas un dato de carácter personal, por lo que, en cumplimiento de la legislación vigente a nivel europeo, hemos ofuscado dos octetos. Aquí va una línea temporal con las principales interacciones contra nuestro señuelo asociados a los ataques exitosos. Interacciones relacionadas con el caso. Se puede observar que la cantidad de interacciones no justifica un acceso por fuerza bruta, por lo que el vector de entrada no fue ese. Adivinar la contraseña por fuerza bruta requeriría, según servicios públicos, 7 cuatrillones de años… Cuando buscamos las trazas de los accesos exitosos al sistema, Aristeo sí nos las ofrece. Al incorporar toda la información al análisis, nos damos cuenta de lo que puede haber pasado. Parece que dos actores han tomado parte de este juego, lo cual explicaría por qué un atacante parece tan profesional un día y otro día parece tan novato. Un actor ha vulnerado nuestra máquina. El cómo es algo que nos reservamos para nuestro equipo de inteligencia. Tras tomar el control, descargó e instaló Anydesk para persistir el acceso en caso de perderlo vía RDP. Gracias a Aristeo (en la máquina todos los log estaban limpios), hemos encontrado trazas de conexiones directas a través de Anydesk tras la primera intrusión. Otro actor, presumiblemente, compró un pack con objetivos previamente vulnerados. Recordemos que parte de lo que encontramos en el sistema, fue un documento de texto en francés con varios objetivos. Estos no parecen conocidos, públicos o importantes más allá de ser, presuntamente víctimas previas del actor uno (o de otros). Sin embargo, este actor no pudo poner en marcha su plan, porque antes intentó escanear 621 direcciones IP de un proveedor de servicios de internet británico, momento en el que internet “se cayó” (desde el punto de vista del atacante) y, por supuesto, no pudieron atacar a nadie más y perdieron el acceso a nuestra máquina. 2.3 Y ahora… ¿qué? Ahora toca aprender de lo que ha sucedido y valorar si hay algo que se pueda mejorar en Aristeo o en la red de señuelos. Aunque estamos satisfechos con sus capacidades, siempre es bueno intentar ir un paso más allá. Respecto al uso de la inteligencia generada por Aristeo, la seguridad de nuestros clientes se reforzó en cuanto sucedieron los hechos, porque transmitimos la información a nuestro DOC (Digital Operations Center) en tiempo real. 3. Anexo: IoC 3.1 Ficheros rescatados en el sistema ______ AUTORES GABRIEL ÁLVAREZ Responsable de Innovación OT SERGIO VIDAL Especialista en Innovación OT Ciberseguridad Cloud Conectividad e IoT IA & Data Smart Data Path, el camino hacia la Industria 4.0 4 de diciembre de 2024

Aunque llega en medio de una gran tormenta internacional, nunca es tarde si la dicha es buena. El día 1 de diciembre se publicó el reglamento de aplicación sobre la Ley de Ciberresiliencia, primer paso para su aprobación final (por el Parlamento Europeo) y publicación en el Diario Oficial de la unión. Una vez entre en vigor los fabricantes, importadores y distribuidores de productos software y hardware tendrán 36 meses para adaptarse a su aplicación. Parece suficiente tiempo, pero muchos se van a tener que adaptar y van a tener mucho que cambiar. No ha sido un camino fácil, como cualquier tipo de norma o reglamento que involucra a tantos países, pero el camino que se inició en 2020 ha concluido justo 3 años más tarde con este reglamento que vamos a repasar a continuación. Concretamente revisaremos algunos puntos importantes para su aplicación orientada al ámbito OT. Aspectos fundamentales de la ley: ámbito, responsabilidad, gestión y notificación Como toda ley, los aspectos fundamentales de ésta están relacionados con los conceptos indicados en el título de este apartado, pero ¿en qué medida? Ámbito: además de establecer el tipo de producto sobre el que aplica este reglamento (literalmente: “todos los productos conectables consistentes en equipos y programas informáticos” o “los productos con elementos digitales”), se establecen varios niveles a la hora de clasificar los productos en función de su criticidad y el riesgo de ciberseguridad asociado. Mientras que para determinar la criticidad se toman en consideración las repercusiones de las posibles vulnerabilidades presente en el producto; para determinar el riesgo de ciberseguridad se tienen en cuenta la funcionalidad del producto relacionada con la ciberseguridad y el uso previsto de éste en entornos sensibles, como, por ejemplo, el industrial (mencionado explícitamente en el documento). También, dentro de los productos críticos, se establecen dos clases a las que pertenecerían: “Clase I” y “Clase II”. La diferencia entre ambos es que dentro la Clase II se introducen aquellos productos críticos que presentan un riesgo más elevado respecto al impacto de una vulnerabilidad en servicios esenciales e infraestructuras críticas. Por lo tanto, esto implica que un mismo producto puede encontrarse dentro de ambas clases, lo que puede llevar a confusión y que implica directamente a quien da el uso a esos productos (el cliente). Un ejemplo en referencia al ámbito industrial es el siguiente: Clase I “Sistemas de control de la automatización industrial no incluidos en la clase II, como controladores lógicos programables, sistemas de control distribuidos, controladores numéricos computerizados para máquinas-herramienta (CNC) y sistemas de control de supervisión y adquisición de datos (SCADA)." Clase II “Sistemas de control de la automatización industrial destinados a ser utilizados por entidades esenciales del tipo contemplado en el [anexo I de la Directiva 2022/2555 (NIS2)], como controladores lógicos programables, sistemas de control distribuidos, controladores numéricos computerizados para máquinas-herramienta (CNC) y sistemas de control de supervisión y adquisición de datos (SCADA).” Como comentábamos, al final el destino y el uso de este tipo de sistemas será dependiente del cliente, por lo que este aspecto será de gran importancia para ellos. Responsabilidad: se establecen normas para reequilibrar la responsabilidad del cumplimiento hacia los fabricantes, que deben evaluar el estado de su producto (software o hardware). Ejemplos de esto son las evaluaciones de riesgos, las declaraciones de conformidad y los procedimientos de colaboración con las autoridades en el caso de ser requeridos. Además, se menciona expresamente a la cadena de suministro y se considera responsables a los implicados en ella. También respecto a la responsabilidad, esta ley complementa la directiva 85/374 de la CEE. En esta directiva se establecen normas en materia de responsabilidad por los daños causados por productos defectuosos. Al relacionarlas directamente, se está considerando que el fabricante de un producto es responsable de los daños causados por la falta de seguridad de su producto, lo que es un salto notable respecto al paradigma actual. ⚠️ Además, podría aplicarse la responsabilidad del fabricante si se considera que la falta de seguridad está relacionada con la falta de actualizaciones. Si este tipo de responsabilidades y penalizaciones se aterrizan adecuadamente, estamos hablando de un antes y un después en esta materia. Todo esto es especialmente relevante cuanto más críticos son los sistemas a tratar, ya que son más apetecibles para un posible atacante y el daño causado por uno de estos sistemas sería mayor (lo que equivale a un mayor coste). Por lo tanto, El ámbito industrial parece uno de los más afectados por las nuevas exigencias respecto a las responsabilidades. Aunque los dispositivos industriales suelen ser robustos, no debemos olvidar que son cada día más atacados y su manipulación, parada o deterioro lleva a contabilizar grandes pérdidas en pocos minutos. Gestión y procedimientos: asumir responsabilidades de lo que pase en los productos requiere de procedimientos y gestión que sirvan para adjudicar esas responsabilidades y posibles penalizaciones en el caso de que algo no sea acorde a la norma. En este ámbito, se señalan varios conceptos que indicamos a continuación: Se establecen límites inferiores a la vida útil (prevista) del producto. Concretamente, hablamos de 5 años de manera genérica. La llegada de dispositivos IT e IoT a los entornos industriales hace que este tipo de medidas refuercen a todo el ecosistema, ya que los dispositivos industriales suelen tener vidas útiles mayores y se busca siempre un soporte acorde. Se exige la existencia de procesos de gestión de las vulnerabilidades que se detecten. Esto también afecta a los importadores y distribuidores, aunque los fabricantes se lleven la mayor parte de esta exigencia. En este sentido, cada vez más fabricantes de dispositivos industriales tienen sus propios equipos hacer esta gestión. No obstante, dejar de darlo por hecho y que pase a ser “norma” es una buena noticia. Se regulan medidas que mejoren la transparencia respecto a la Ciberseguridad de los productos de cara a los consumidores, lo que supone un gran avance en todos los ámbitos, pero especialmente en el del IoT y su gemelo industrial “Industrial IoT”. Notificaciones: en este aspecto, la ley abunda en la necesidad de notificar fallos de ciberseguridad que ya resaltó la Directiva NIS (y sus versiones posteriores). Lo que se indica en este apartado es el procedimiento y necesidad de notificación, así como el establecimiento de puntos de contacto a nivel nacional y supranacional. Todo esto refuerza a toda la estructura cibernética europea, lo que nos beneficia a todos. También el hecho de exigir notificaciones permite actuar antes en materia de protección de infraestructuras críticas, donde, como todos podemos intuir, los entornos industriales suelen estar presentes. Otros conceptos: la importancia de los detalles Además de todo esto, la ley hace referencia constante a otros términos como piedras angulares de la legislación europea en materia de Ciberseguridad. Una de esas piedras son las referencias a otras normativas de la UE, que sirven para vincular esta ley con el resto del marco europeo. La ley, por lo tanto, no es un todo, sino que es una columna dentro de un edificio con muchos vecinos (la UE). Más columnas, más sólido será el edificio. Muchas o pocas columnas, problemas a la vista. También los servicios esenciales y las infraestructuras críticas de los países de la Unión Europea son mencionados en todo el documento, dejando claro el ámbito más restrictivo de esta normativa y la relevancia que adquiere en el espacio de la Unión. Otros términos y conceptos como “operadores digitales”, “proveedores de infraestructuras digitales”, “cadena de suministro” o “computación en la nube” también dejan claro que se pretende introducir bajo el paraguas de esta ley el acceso a internet y sus servicios de manera general. También se encuentran en el documento las referencias a la seguridad desde el diseño, reconociendo la importancia fundamental de este concepto como elemento de seguridad frente al avance del tiempo. Además, la ley establece también la necesidad de que existan organismos nacionales y supranacionales que puedan velar por que se cumplan los conceptos mencionados en la ley. Estos organismos tendrán que poseer sus propios procedimientos de operación y coordinación interna para que haya una estandarización a la hora de evaluar dispositivos y su conveniencia en cada ámbito de los indicados en la ley. También a la hora de notificar una vulnerabilidad o amenaza, ya que la notificación debería ser sólo el primer paso dentro de la gestión de este tipo de incidencias. En suma, los documentos recorren el estado actual del arte, dando una dimensión amplia a la ley y dotándola de mecanismos para regular y transformarse a las nuevas realidades del futuro. Vísteme despacio, que tengo prisa La Unión Europea lleva años trabajando en la regulación en materia de ciberseguridad. Aunque nos pueda parecer que van lentos y tarde, la realidad es que no es sencillo redactar normas de este calado y que afecten positivamente a países tan distintos como los que formamos parte de la Unión. El trabajo ha sido arduo y va a seguir siéndolo durante años, porque la tecnología avanza, los malos y los buenos compiten en una eterna carrera (¿de qué me suena eso?). Sin embargo, es fundamental establecer las bases de un marco legal en el que los reglamentos se relacionen de manera que permitan en mínimo número de agujeros por los que se pueda colar cualquier cosa. Al establecer un marco general, lo que se busca es proteger no solo a aquello que es fundamental para el funcionamiento de un país (o varios), sino proteger también a los que hacen uso de todo, que es la ciudadanía en términos generales. Las nuevas normas se aplicarán tres años después de la entrada en vigor del acto legislativo, lo que debería dar a los fabricantes tiempo suficiente para adaptarse a los nuevos requisitos. No obstante, se prevé un periodo de gracia de 21 meses extra en lo referente a la obligación de notificación de incidentes y vulnerabilidades por parte de los fabricantes. ◾ Los documentos de la ley, y más información, se pueden consultar aquí: EU Cyber Resilience Act. Parece que ya está todo hecho y sólo acabamos de empezar. ⚠️ Para recibir alertas de nuestros expertos en Ciberseguridad, suscríbete a nuestro canal en Telegram: https://t.me/cybersecuritypulse Cyber Security AI of Things Blockchain La (llámala 'x') revolución industrial: La introducción de las nuevas tendencias en Ciberseguridad industrial 20 de diciembre de 2023

La eterna lucha La carrera entre el bien y el mal siempre comienza de la misma forma. El malo corre, porque lo necesita para existir, y hace alguna de las suyas, lo que provoca que el bueno empiece a correr tras él. En el mundo cibernético todo sigue igual. Que el cibercrimen mueve montañas de dinero no es una novedad. Ni siquiera nos sorprendemos si leemos un informe del FBI en el que se indica que esas montañas pueden ser mayores de diez mil millones de dólares. Lo voy a poner en número, para que veamos la magnitud: 10.000.000.000 de dólares, 10 billones para un contable anglosajón. Sin embargo, cuando se repasan ciertos estudios sobre el estado de la Ciberseguridad en empresas se detecta que hay más miedo a recibir un ciberataque que disposición al gasto para evitarlo. Aunque las cifras asusten, pueden ser confusas por aproximadas y porque nadie sabe qué parte de ese pastel de diez mil millones va a tener que pagar su empresa. Además, el dinero sólo es el vehículo para estandarizar pérdidas. Bajo el dinero subyacen daños morales, reputacionales, físicos, psicológicos… ¿Cómo podemos adelantar a los malos? ¿Cómo podemos anticipar el impacto de esta carrera en las empresas y en la sociedad? Las motivaciones son lo importante, o no Hoy en día contamos con muchas herramientas, muchas iniciativas, muchos paradigmas y diseños con la seguridad como base de su desarrollo… pero el malo siempre vuelve a correr… y a ganar. Volver a iniciar la carrera requiere de motivaciones sólidas: Odio: el mal existe. Venganza: típicamente un “insider”. Dinero. Más dinero. Mucho más dinero (esta suele ser la más común). Motivaciones políticas. “Hacktivismo”, aunque si lo llamamos “ciberdelincuencia”, “espionaje” o “ciberterrorismo”, también acertamos. En todo caso, sea cual sea la motivación, el impacto de un ciberataque en una empresa tiene un efecto sísmico. Se va propagando por toda la superficie de ésta, pudiendo llegar, incluso, a tener réplicas. Las consecuencias, por lo tanto, permanecen en el tiempo ¿Cuáles son? Coste reputacional: Que tu negocio cese durante un tiempo indeterminado es duro, pero que tu negocio tarde en volver a cifras pre-ciberataque es más duro aún. Coste material e inmaterial (personal, información, instalaciones…): Esto equivale a mucho dinero. Víctimas potenciales (clientes, pacientes, daños colaterales): Las empresas no son seres. No son culpables, ni inocentes, ni víctimas, ni verdugos... Sin embargo, las personas que trabajan en ellas sí pueden ser las víctimas en este caso. Y sus clientes también. Las personas relacionadas con una entidad atacada pueden sufrir daños morales, perder privacidad, salud, dinero… Algunas de esas pérdidas no se pueden recuperar jamás. Ni con seguros ni con compensaciones. ⚠️ Los sentimientos y el daño físico o psicológico son más difíciles de medir, lo que provoca que se estandarice todo con el contante y sonante dinero, aunque debajo queden efectos sin cuantificar, pero muy reales. El mundo IT Las tecnologías de la información fueron las primeras afectadas por los peligros el mundo cibernético. También, tal vez, porque llegaron antes a probar las ventajas que un mundo conectado podía ofrecer. Vamos a imaginarnos alguna situación que tenga que ver con este ámbito. Si una empresa, por ejemplo, del sector salud, sufre un ciberataque que alcanza a tods los datos de sus pacientes, pongamos, más de dos millones de personas, tenemos los siguientes números: Número de víctimas: 2.000.000. Coste reputacional: Altísimo y recurrente. No sólo es el titular. Cada día en el que una víctima se acuerde de lo que sucedió o sufra un problema por ello, volverá a perder su confianza en la entidad y a experimentar dolor de algún tipo lo que refuerza ese sentimiento negativo. Coste material: del ataque, relativamente poco. Pero va a ser difícil mantener a los 28.000 empleados que tienes si el coste reputacional es alto y la gente deja de confiar en ti, por no hablar de multas y demás costes derivados de un ciberataque. Ganancia para el atacante: según nuestros estudios, el tipo de información que se mueve en un hospital no bajaría de 50€. Haciendo cuentas… más de 100.000.000 €. No está mal para unos pocos días de trabajo. ¿Es mucho? ¿Hemos escogido un incidente concreto para que los números asusten? Según varios medios especializados y empresas de ciberseguridad, el sector salud sufrió, cada semana, más de 1.400 ciberataques de media en 2022 (y en 2023 la cifra no va mejor). Otros medios indican que esta actividad ha derivado en 327 fugas de información y 40 millones de pacientes afectados por ellas. La fuente es del propio sector: el Urology Times (muy fan del nombre). Una cuenta rápida nos lleva hasta los 2.000.000.000 € de beneficio de directo (y libre de impuestos, claro). Es cierto que puede suceder que la información robada “sólo” sean nombres y apellidos, lo que conlleva un menor valor del botín, pero, seguramente, algo más habrá en un hospital. Y ni siquiera es el sector que más ataques recibe. El sector académico, donde se incluye la investigación, es el más interesante para los cibercriminales por lo lucrativo que es robar propiedad intelectual o que te paguen sólo por retrasar la investigación de otro (país, negocio, grupo de investigación, etc.). El sector industrial, en terrible ascenso El airgap queda ya muy atrás. Los protocolos, servicios y dispositivos “legacy”, no. Nuestros queridos malos han iniciado la carrera hace tiempo. Tras haber pasado unos años formándose y probando, el número de ataques se ha disparado. Nuestro sistema de captura y análisis de amenazas para entornos OT, Aristeo, capturó más de 300 millones de eventos contra su red en el primer semestre de 2023. El número de dispositivos expuestos sigue aumentando y las vulnerabilidades detectadas y explotables siguen siendo “sencillas” de explotar. Implementamos medidas de seguridad, pero… “ellos” siempre nos adelantan. Si nos fijamos en el sector de la automoción, puede que una empresa dedicada a la fabricación de automóviles pueda sufrir una fuga de datos, similar a las empresas del ámbito IT, o una parada en sus procesos… o ambos ¿Por qué no? Si esto sucede ¿cuántos días dura el proceso de recuperación? ¿cuántos vehículos se pueden ver afectados? Un atacante que deje sin disponibilidad una sola máquina del proceso de fabricación en el sector de automoción puede generar a su víctima una pérdida de más de 20€ por minuto en esa máquina. Otra cosa a tener en cuenta: hoy por hoy, la industria de fabricación en cadena suele tener material justo para continuar con sus procesos durante un día (no hay grandes almacenes con millones de piezas). La logística es más compleja que llamar para que te vengan a recoger o llevar un paquete. Estamos hablando de que un paro en una pequeña parte de la cadena perjudica gravemente al resto del proceso por detrás y por delante de éste. ⚠️ Recuperar una máquina de una parada por avería no es lo mismo que recuperarla tras un ciberataque. No suele ser tan sencillo como cambiar o arreglar la máquina, porque eso no soluciona la vulnerabilidad o vulnerabilidades subyacentes. ¿Y esto en dinero cuánto es? Bien, la pregunta debería ser otra. ¿Es mejor pagar al atacante y asumir las pérdidas (seguramente millonarias) por el daño causado o es mejor invertir una cantidad más baja en medidas de ciberseguridad que minimicen el riesgo de sufrir algún contratiempo? Detener la fabricación de 13.000 vehículos, parar varias plantas a nivel global, asumir multas y sobrecostes por detener la logística… todo eso termina siendo muchos más euros de lo que gastaría una empresa en ciberseguridad antes de sufrir un ciberataque. Porque después de un ciberataque, claro, lo va a gastar también. La carrera no va a terminar. El cibercrimen es cada día más rentable y más seguro (para el atacante). Los datos están ahí. ¿Debemos correr entonces? Debemos volar. ⚠️ Para recibir alertas de nuestros expertos en Ciberseguridad, suscríbete a nuestro canal en Telegram: https://t.me/cybersecuritypulse Cyber Security Cómo las soluciones DRP (Digital Risk Protection) defienden tu negocio de las ciberamenazas 6 de noviembre de 2023

El futuro fue ayer No hemos terminado con la cuarta revolución industrial, o Industria 4.0, y ya estamos definiendo e intentando implementar nuevos conceptos que crecen al calor de la llamada Industria 5.0 (y la 6.0). La celeridad a la que se suceden los cambios, los avances en la tecnología, la rapidez a la que se introducen nuevos términos para implantar conceptos novedosos (o no tanto…). Todo nos lleva a banalizar cada cambio, sin razonar en profundidad sobre pros y contras de cada uno de ellos. Está claro que el sistema de versiones está “roto” desde el punto de vista humano (no técnico). Sin embargo, los cambios que provocan ese cambio de versiones y nomenclaturas sí merecen un análisis. Y el análisis no puede ser “cosa nueva, cosa buena”. En este artículo vamos a detenernos en conceptos que todos hemos oído alguna vez (unas cuantas), contemplándolos como implementaciones dirigidas al ecosistema de la Ciberseguridad industrial. En otros artículos nos referiremos a ellos como una implementación holística dentro de “la fábrica del futuro”. La estrella de 2023 La IA. Está claro que la Inteligencia Artificial ha sido la estrella de este año. Parece que puede hacerlo todo y lo que no pueda hacer es porque no existe en este universo (y cualquier día nos sorprende…). Mas allá de lo que realmente pueda hacer hoy y no pueda hacer hoy, está claro que la Inteligencia Artificial es un paradigma (no solo una tecnología) que viene para quedarse. No en vano, es un concepto que existe desde hace más de 60 años y todos los ingenieros en informática hemos estudiado. Centrándonos al mundo de la Ciberseguridad, la Inteligencia Artificial supone un paso más en la aplicación de reglas, inferencias, estadísticas… que se llevan haciendo desde hace años. Un paso más, pero un paso muy importante. Incluso con una ANI o Inteligencia Artificial limitada, las mejoras son evidentes. La capacidad de ingestión de información y relación de datos, las inferencias… todo es más completo y más rápido. Ciberseguridad IA & Data Evolución de la Ciberseguridad: la IA como herramienta de ataque y defensa 28 de junio de 2023 ¿Acabará con el trabajo de los analistas y profesionales de la Ciberseguridad? No sé. Lo que sí está claro es que, siendo un elemento muy importante hoy en día, a medida que la capacidad de la IA avance y se instale de manera definitiva en un nivel de AGI (inteligencia artificial general), la capacidad para tomar decisiones autónomas y hacer asociaciones e inferencias “de analista” va a ser mayor. En pocas palabras, además de trabajar con la información como indicadores de compromiso o de ataque (aquella que se carga en IPS, IDS…) la IA trabajará de manera eficaz con aquella relacionada con las TTP de un atacante, su “modus operandi”. Esto supone un salto diferencial a la hora de encontrar patrones, anticipar campañas, asociar amenazas a grupos APT, detectar esas APT cuando “duermen” en el sistema, etc. Ese tipo de inferencias son, hasta ahora, responsabilidad de la inteligencia humana, y ahora viene de camino más ayuda. La estrella de 2022 El metaverso, por supuesto. Aunque esté fuera de foco y parezca abandonado, el metaverso aún tiene cosas que ofrecer, aunque quizás no las que se esperaban y no ahora. Pero, como concepto, presenta ventajas si va de la mano de mejoras en la conectividad (hola, 5G SA) y Edge computing. Quizás la aplicación inicial no deba ser establecer un mundo abierto, no determinista, donde los humanos nos podamos pasear. Seguramente plantear entornos mucho más cerrados, deterministas, en los que la influencia humana se circunscriba a ciertas acciones, sea un paso más humilde y sensato. Siguiendo este razonamiento, y relacionándolo con los entornos industriales (y la Ciberseguridad), desplegar un entorno controlado donde se pueda empezar a virtualizar funcionamientos y comportamientos (que no son lo mismo) sería un buen paso hacia la fábrica en el metaverso. Los comportamientos básicos son relativamente sencillos de virtualizar, porque se trata de máquinas en estados determinados. Sin embargo, el funcionamiento es otra historia. No se trata de que una máquina diga “sí” o “no”. Se trata de que, ante un estímulo externo, el sistema virtualizado tenga en cuenta cómo se comporta la máquina de verdad a nivel de circuito, de puerta lógica, de señal eléctrica… y que también tenga en cuenta el desgaste del sistema, el calor desprendido, las condiciones cambiantes del entorno… conseguir esto supondría el nacimiento del primer gemelo digital real. Huelga decir que tener un sistema virtual que se comporte como una máquina real (o un entorno real) es diferencial desde el punto de vista de la Ciberseguridad. Poder desplegar ese tipo de sistemas para ejecutar testbeds, actividades de Red Team o señuelos similares a honeypots sería muy positivo desde el punto de vista de la flexibilidad y disponibilidad de ese tipo de sistemas. Lamentablemente, esto no es una realidad. Y, mientras no lo sea, la captura de amenazas reales y el análisis de su comportamiento en sistemas industriales debe hacerse en hardware real para garantizar resultados reales y evitar el ruido de los sistemas virtuales. Hola, Aristeo. Ciberseguridad Conectividad e IoT IA & Data Inteligencia Artificial aplicada a la Ciberseguridad industrial (OT) 25 de marzo de 2024 La enana marrón Las enanas marrones son un tipo de estrella tan pequeña que no puede mantener las reacciones nucleares que sus hermanas mayores sí. Por eso, no emiten radiación visible suficiente como para que las veamos a simple vista, pero ahí están… Web3 es esa estrella que no se ve a simple vista, pero lleva con nosotros desde hace tiempo ¿Por qué? porque su ámbito es tan global que su aplicación es mucho más pausada (y silenciosa) que la de otras tecnologías y conceptos. Es decir, más pensada para quedarse con nosotros durante mucho tiempo. En lo referente a la Ciberseguridad industrial, conviene tener en cuenta lo siguiente: en un proceso industrial el paradigma de la seguridad, la CIA (confidencialidad, integridad y disponibilidad, “availability”), destaca la integridad de la información. Esto no quiere decir que las otras dos vertientes no sean importantes, pero en un proceso industrial, “fabricar” (comida, aparatos electrónicos, agua potable) en base a valores constantes y aprobados es fundamental. Lo contrario podría derivar en un problema de salud o seguridad. Beneficios de Web3 La capacidad de Web3 para utilizar la cadena de bloques como un registro, cifrado, distribuido, consensuado y verificado, permite mejorar la seguridad, integridad y trazabilidad de la información de los procesos y valores, así como los cambios que se hagan en todo ello. Web3 implica procesos industriales más robustos y resistentes a cambios que puedan afectarnos a todos de manera negativa. Además, el lujo de desplegar sistemas humanamente desatendidos es algo que en el ecosistema industrial no se puede hacer de manera general, por lo que se pierde parte de las mejoras en eficacia y eficiencia que conllevan esos sistemas. Gracias a Web3, se mejora la autonomía de los sistemas industriales, estableciendo una capa de control sobre sus procesos con contratos inteligentes que se pueden vincular a eventos o condiciones (cambios en valores, por ejemplo) que limiten su alcance. El futuro se hace al andar Y hasta aquí este breve repaso de tecnologías que están llamadas a marcar la diferencia en el ámbito de la Ciberseguridad industrial. Sin embargo, conviene destacar que nada está exento de problemas. Las tecnologías aquí mencionadas tienen sus propios retos, como la dificultad de pasar a un mundo software la interacción de los elementos hardware a nivel de circuito y señal eléctrica (o la acción del medio en el que se encuentren), o los ataques de 51% que restan fiabilidad a algunas características de Web3. Volviendo al inicio del artículo, la velocidad a la que se suceden los cambios implica que el concepto de “obstáculo” no se interpreta actualmente como “impedimento” sino como “desafío”. Esto nos lleva a contemplar los beneficios mucho más allá de esos desafíos, lo que nos hace avanzar como sociedad y como personas. Caminante, no hay camino, se hace camino (y futuro) al andar. 💬 Para recibir noticias y reflexiones de nuestros expertos en Ciberseguridad, suscríbete a CyberSecurityPulse, nuestro canal en Telegram: https://t.me/cybersecuritypulse Cyber Security Blockchain Criptomonedas: el fenómeno preocupante de los rug-pulls (y cómo protegerse) 28 de noviembre de 2023

Uno de los factores que indica la madurez de algunas ramas de la tecnología es la incorporación de mejoras a medida que esa tecnología va evolucionando y que son distintas de las que se planteaban en sus inicios. Así, por ejemplo, el comienzo de la evolución en los microprocesadores se basó en la potencia bruta y una progresiva, y lenta, miniaturización (principalmente por temas de generación de calor y costes). A medida que la tecnología fue madurando, se fueron introduciendo otras mejoras, como el uso de varios núcleos dentro del mismo procesador, segmentación en la potencia, reducción de consumos, más esfuerzo en la miniaturización… Ese indicador de madurez en la conectividad inalámbrica de la red móvil ha sido el estándar 5G: la apuesta por otras mejoras de impacto por encima del consabido aumento de velocidad típico de cada evolución. Sin embargo, esta entrada no va a analizar los beneficios de la conectividad 5G. Para eso ya tenemos estupendos artículos en nuestro blog. En este vamos a hablar de cómo impacta esa madurez en el entorno de la industria 4.0. Como comentamos en nuestro anterior artículo, en el que hablamos sobre la aproximación a la ciberseguridad en la Industria 4.0, en los últimos años la industria está viviendo un intenso proceso de transformación que se ha denominado la “cuarta revolución industrial” o “industria 4.0”. Este proceso de digitalización y desarrollo de nuevas tecnologías busca implementar mejoras como el acceso en tiempo real a los datos y la inteligencia de negocio, lo que transformará la perspectiva actual en la que se llevan a cabo los procesos de producción, avanzando un paso más hacia las denominadas “Smart Factories”. Abrazando a la industria El nuevo estándar 5G propone mejoras en el acceso a los procesos industriales y la comunicación entre ellos, así como en la creación nuevos modelos y casos de uso. Según la consultora ABI Research, estas mejoras podrían llegar a reducir el coste de mantenimiento en un 30% y a aumentar la eficiencia general en un 7%. Esto no es casual. Como se puede observar en la imagen inferior, el protocolo 5G se erige sobre 3 pilares básicos, que ofrecen solución a los grandes retos y avances que la cuarta revolución industrial plantea. Ilustración 1 - El triángulo del 5G en la Industria 4.0. (Fuente: Observatorio Nacional 5G) ¿Qué tecnologías aplican en cada pilar y qué en qué se traducen? Vamos a ello: Gran ancho de banda: eMMB (evolved Mobile Broadband Communications), que permite proporcionar elevadas velocidades de transmisión. Implica que no se produzcan cuellos de botella en las transmisiones de gran cantidad de información. Baja latencia: URLLC (Ultra Reliable Low Latency Communications), que permite ofrecer conexiones a baja latencia por debajo de 1 milisegundo y de alta fiabilidad, con un porcentaje de al menos 5 nueves (99,999%), equiparando en rendimiento a conexiones solo alcanzables mediante cableado. Esto es especialmente relevante en entornos M2M, ya que se minimiza la posibilidad de que dos máquinas trabajando en sincronía puedan bloquearse por la latencia en la transmisión de la información o porque la conexión no es estable. Alta densidad: mMTC (massive Machine-Type Communications), que permite conectar un elevado número de dispositivos simultáneamente. En casos en los que se despliegue un gran número de dispositivos que requieran conexión (por ejemplo, sensores) esta tecnología permite el control de los dispositivos a la vez, sin provocar desconexiones o exclusiones de alguno de ellos. ¿Y qué hay de la seguridad? La heterogeneidad propia del ecosistema OT implica que prácticas clásicas como el parcheado de fallos o la segmentación de la red (restringiendo el acceso a internet a algunos de estos segmentos) se tornen en ocasiones ineficaces o directamente imposibles ante la diversidad de dispositivos y protocolos propietarios, o sencillamente debido a las peculiaridades de cada proceso industrial. Además, una “Smart Factory” requiere protocolos de comunicación preparados para integrar los dispositivos IT, OT e IOT. Esto implica la implementación de diferentes redes de comunicación, tanto cableadas como inalámbricas, con su propias vulnerabilidades y retos de seguridad en un entorno (antaño muy aislado) que no está preparado para asumir la entrada de golpe de varios dispositivos de otros ámbitos. Sin embargo, el 5G es la tecnología habilitante para esa hibridación que permitirá unificar las comunicaciones clave en la industria 4.0. La gran ventaja de esta generación, amén de su adopción por parte de todos los ámbitos involucrados, es la implementación de la seguridad desde el diseño, como un punto fundamental de este estándar. Además, la seguridad del 5G no solo se centra en soluciones individuales, sino que también considera los principales riesgos y las amenazas de entorno, analizando el alcance de cada amenaza y el coste de su mitigación y remediación. Algunas de las características más relevantes que implementa el 5G son las siguientes: Interfaz de radio: para evitar la manipulación de datos del usuario, se ha diseñado una protección adaptativa de la integridad de los datos del usuario, además del cifrado de extremo a extremo. Privacidad del usuario: a diferencia del 4G, la información de identificación del usuario, como el IMSI (International Mobile Subscriber Identity), no se transmite en texto plano, sino que se cifra en la interfaz de radio. Autenticación: el proceso de autenticación de acceso 5G está diseñado para admitir el protocolo de autenticación extensible (EAP) especificado por el IETF, a través de una nueva versión del “Authentication and Key Agreement” (AKA) ya utilizado en otros estándares anteriores. Seguridad de roaming: la arquitectura basada en servicios del 5G define el proxy de protección de borde de seguridad para implementar la protección de seguridad E2E (end-to-end) para la señalización entre operadores en las capas de transporte y aplicación. Esto impide que los dispositivos de operadores terceros puedan tener acceso a datos confidenciales. Este tipo de prácticas son muy importantes, pero más importante aún es que los proveedores de los servicios 5G apuesten por mantener una cadena de confiabilidad que fortalezca la seguridad embebida en el estándar 5G. En ese sentido, Telefónica declara en su Manifiesto Digital que la seguridad es primordial. Su presidente ejecutivo, José María Álvarez-Pallete, declaró respecto a la iniciativa “Red Limpia”, que “Telefónica se enorgullece de ser una compañía con una ruta de acceso 5G limpia”. En la actualidad, tanto Telefónica España como O2 (Reino Unido) son redes totalmente limpias, mientras que Telefónica Deutschland (Alemania) y Vivo (Brasil) lo serán próximamente. Esto implica que los proveedores en toda la cadena de suministro serán confiables, minimizando así un problema común en el ámbito de la ciberseguridad. En resumen… La conectividad 5G es el elemento necesario para impulsar la “cuarta revolución industrial”. Se trata de un estándar estratégico, bien planificado y que implementa los pasos necesarios para demostrar que se trata de una tecnología madura y dispuesta a facilitar ese salto que convierta el uso de la tecnología en algo transparente para el usuario. De esta forma, se cumplirá el paradigma de la ubicuidad en la tecnología, de la cual Mark Weiser es su creador: “las tecnologías más arraigadas son aquellas que desaparecen”. Vamos camino de ello…