Jorge Rubio Álvarez

La Ciberseguridad en los entornos industriales u OT (Operational Technology) es crucial para proteger infraestructuras críticas como la energía, el transporte y la comunicación. Una preocupación cada vez mayor a medida que las infraestructuras se vuelven más interconectadas y dependientes de tecnologías de la información o IT (Information Technology). A lo largo del tiempo, diferentes compañías y organizaciones de diversos entornos industriales han sufrido ataques tanto técnicos como de ingeniería social. Ataques cada vez más sofisticados y en mayor volumen. Por ello, la Inteligencia Artificial (IA) es clave para mejorar la capacidad de las organizaciones para detectar y prevenir los ciberataques en la industria. Es decir, para dar un salto cualitativo en cuanto a la ciberseguridad de los sistemas OT. Cómo ayuda el uso de Inteligencia Artificial a mejorar la Ciberseguridad industrial Estas nuevas tecnologías de Inteligencia Artificial pueden conseguir detectar y responder a amenazas de seguridad de manera más efectiva que los métodos de Ciberseguridad tradicionales. A continuación, enumeramos algunas de las aplicaciones que puede tener la Inteligencia Artificial en el presente y futuro de los sistemas industriales: La utilización del aprendizaje automático con el que pueden analizar grandes volúmenes de datos (millones de eventos de seguridad) y detectar patrones (análisis de comportamiento) para prevenir ciberataques y mejorar los tiempos de respuesta respecto a las soluciones de Ciberseguridad actuales. La monitorización y optimización de los procesos industriales para predecir las necesidades de mantenimiento y evitar futuros problemas en los equipos, lo que conllevarían paradas de la producción no programadas y, a su vez, grandes pérdidas para las empresas. La automatización de tareas de seguridad, como la monitorización de redes, la aplicación de parches de seguridad, la creación y actualización de reglas en los firewalls, ayudando a que los analistas de seguridad puedan centrarse en tareas más complejas. Operario manejando un dron en una construcción. Shalom de León / Unsplash Las herramientas de monitorización de eventos de Ciberseguridad industrial ya poseen capacidades de aprendizaje de comportamiento de las comunicaciones de red, y es previsible que se integren estas capacidades con las que proporciona la Inteligencia Artificial. Además, la sobrecarga de trabajo del personal provoca que no puedan examinar exhaustivamente todos los incidentes que se reportan a lo largo del tiempo. Es por todo ello que es difícil pensar en un futuro en el que la Inteligencia Artificial no juegue un papel clave en la respuesta a ciberataques industriales y en la mejora de la eficiencia operativa. Ciberseguridad Ciberseguridad: eventos “cisne negro” en un mundo conectado 21 de marzo de 2023 Qué retos existen en la aplicación de Inteligencia Artificial en Ciberseguridad OT Uno de los mayores retos que existen en la actualidad es el de crear una Inteligencia Artificial segura, sostenible y responsable para todos, pero no es el único reto. Se enumeran, a continuación, ciertos desafíos que pueden generarse con la aplicación de la IA en las soluciones de Ciberseguridad industrial: La calidad de los datos de entrenamiento que necesita la Inteligencia Artificial (por ejemplo, archivos de tráfico de red o PCAP) debido a la necesidad de la privacidad y la seguridad de la información interna de cada compañía. La dificultad de interpretar e integrar los modelos de Inteligencia Artificial en las aplicaciones de Ciberseguridad. La posible sobrecarga de alertas o falta de detección de amenazas debido a la generación de gran cantidad de falsos positivos o negativos por la mala aplicación de la Inteligencia Artificial. La dificultad de identificar los cambios realizados en los procesos industriales sin la intervención de las personas encargadas (operarios). La posibilidad de que los algoritmos puedan ser engañados o manipulados por atacantes. El alto coste de mercado de las herramientas impulsadas por la Inteligencia Artificial. Además, por la preocupación acerca del posible uso indebido de la Inteligencia Artificial y el aprendizaje automático en este campo de la Ciberseguridad industrial, sería necesaria una regulación adecuada al respecto. Foto: Jeshoots.com / Unsplash Por otro lado, es posible que se intente utilizar la IA para vencer las defensas de la Ciberseguridad industrial complementando el actual conocimiento de los hackers. Dos investigadores ganaron un hackathon de Zero Day Initiative tomando el control de sistemas industriales gracias a ChatGPT. Existe un ejemplo conocido en un hackathon Zero Day Initiative en el que dos investigadores ganaron interrumpiendo y tomando el control de sistemas industriales usando ChatGPT. En este caso, los investigadores encontraron varios puntos débiles en sus sistemas. Utilizaron esta Inteligencia Artificial para que les ayudase a escribir el código y concatenar las vulnerabilidades encontradas, lo que les ahorró horas de desarrollo. Aunque es cierto que OpenAI y otras empresas con bots de Inteligencia Artificial están agregando controles y filtros para evitar este uso malintencionado, aún queda camino que recorrer para considerar estas tecnologías totalmente seguras frente a actores maliciosos. CYBER SECURITY Inteligencia Artificial, ChatGPT y Ciberseguridad 15 de febrero de 2023 La relevancia de aplicar Inteligencia Artificial en la Ciberseguridad industrial A medida que las tecnologías de la información y la comunicación continúan evolucionando y se integran aún más en las infraestructuras críticas, el riesgo de Ciberataques seguirá aumentando. Por tanto, es necesario mejorar las soluciones que se utilizan actualmente en el mundo OT. El futuro de la Inteligencia Artificial aplicada a la Ciberseguridad industrial es muy prometedor. Estas soluciones podrían mejorar significativamente la capacidad de las organizaciones para detectar patrones de comportamiento anormal y alertar a los operadores sobre posibles amenazas. El futuro de la Inteligencia Artificial aplicada a la Ciberseguridad industrial es muy prometedor. Además, la Inteligencia Artificial también podría ser utilizada para predecir el riesgo de un ataque y ofrecer recomendaciones para mitigarlo antes de que se produzca. Asimismo, puede fortalecer la autenticación y autorización de accesos a los sistemas críticos. También identificar vulnerabilidades en los sistemas OT antes de que sean explotadas por los atacantes. En conclusión, el uso de la Inteligencia Artificial en la Ciberseguridad industrial puede ser la clave para proteger nuestras infraestructuras críticas en un mundo cada vez más conectado. Fotografía principal: DeepMind / Unsplash. Publicado 25.04.2023 Actualizado 25.03.2024

Podemos encontrar entornos industriales en cualquier tipo de sector que nos podamos imaginar, ya sea en empresas de tratamiento de agua, transporte, farmacéuticas, fabricación de maquinaria, eléctricas, alimentación o automoción, entre otras. Las diferencias de un entorno industrial con el típico entorno corporativo o IT (Information Technology) es que las redes de comunicación industrial u OT (Operational Technology) están diseñadas para una tarea concreta y utilizan unos equipos y sistemas que no cambian en el tiempo. Es decir, se producen las mismas comunicaciones entre los mismos dispositivos de manera continuada, de forma cíclica, todo lo contrario al mundo corporativo en el que se conectan multitud de distintos equipos en diferentes momentos como, por ejemplo, los portátiles o móviles corporativos. Otra de las grandes diferencias es que estos dispositivos industriales tienen una mayor probabilidad de poseer vulnerabilidades en su firmware o software ya que se tratan de equipos anticuados que no se suelen actualizar o parchear, al no ser compatibles con los últimos sistemas operativos del mercado o porque su reemplazo podría llegar a ser muy costoso para la empresa. Además, es habitual el uso de comunicaciones de red sin cifrar o protocolos inseguros que permitan la explotación de vulnerabilidades o la obtención de contraseñas en texto claro. Las implicaciones más graves de que un sistema industrial sea vulnerado es la afectación de la seguridad física de las personas. Este estado en el que se encuentran los entornos industriales junto con la necesidad cada vez más apremiante de conectar los procesos industriales y las fábricas con el mundo corporativo, la nube o Internet, hace que aumenten los riesgos de un ciberataque a este tipo de instalaciones. Las implicaciones más graves de que un sistema industrial sea vulnerado es la afectación de la seguridad física (safety) de las personas, además de pérdidas económicas o daños en la imagen de la empresa. Por ello es de vital importancia tratar de proteger estos equipos frente a cualquier ciberataque. CYBER SECURITY Ataques inalámbricos en OT 5 de septiembre de 2022 Qué ciberataques se han producido anteriormente en los entornos industriales A lo largo de los años se han atacado a diversas empresas y organizaciones de todo tipo de entornos industriales, tanto con ataques técnicos como a través de ingeniería social, además de los producidos por descuidos, dejadez o falta de concienciación de los empleados como, por ejemplo, el uso de llaves USB entre equipos del sistema de control (OT) y sistemas corporativos (IT). A continuación, se enumeran algunos ejemplos de los distintos tipos de ciberataques utilizados para atacar empresas de diversos sectores con entornos industriales: Malware en los dispositivos industriales o de campo. Secuestro de comunicaciones y ataques man-in-the-middle. Denegación de servicio. Spear phishing. Espionaje a través de las bases de datos. Ataques a la cadena de suministro. Actualizaciones indebidas o maliciosas en los dispositivos. Foto: Greg Rosenke / Unsplash Y no se trata de casos aislados, ¡constantemente podemos observar en las noticias ataques a infraestructuras industriales! Algunos de los más relevantes son los siguientes: Aeropuerto de Worcester en Estados Unidos (1997): Un hacker se introdujo en las comunicaciones del sistema de control del tráfico aéreo y provocó un fallo en el sistema que dejó totalmente inutilizado el sistema de telefonía que afectó a la torre de control y distintas áreas del aeropuerto (bomberos, meteorología, etc.) lo cual tuvo un gran impacto económico. Saudi Aramco (2012): Un atacante consiguió acceso a la red industrial a través de uno de los empleados y borraron el contenido de todos los equipos. Esto provocó que la gestión de los suministros, el transporte del petróleo, los contratos con los gobiernos y con los socios de negocios fuera realizada en papel. Si se hubiera tratado de una empresa más pequeña probablemente este ataque la habría dejado en bancarrota. Maersk (2017): Un ciberataque utilizando el malware “NotPetya” provocó cortes en todas las unidades comerciales del naviero lo que conllevó durante semanas la paralización de sus operaciones de envío de contenedores a lo largo del mundo. Se estima que las pérdidas generadas por este ataque alcanzaron los 300 millones de dólares. Planta de tratamiento de agua en Oldsmar (2021): Un grupo de atacantes consiguieron acceder a los sistemas SCADA (Supervisión, Control y Adquisición de Datos) que permitían controlar el tratamiento químico del agua de Florida y modificaron los niveles de sosa cáustica en el agua potable. Gracias a un operario que identificó el acceso no autorizado y fue capaz de detectar dicha manipulación, esto no produjo unos graves efectos adversos en la población. Estos son solo algunos de los ejemplos que sí han salido a la luz en los medios de comunicación, pero hay muchos otros de los que jamás tendremos constancia de ellos. AI of Things Nuevas oportunidades empresariales con IoT (Internet de las Cosas) 29 de noviembre de 2022 Cómo evitar o mitigar las consecuencias de un ciberataque industrial Para minimizar los riesgos de sufrir un ciberataque en un entorno industrial se debe minimizar la visibilidad de la red para disminuir la superficie de ataque, aumentar la formación al personal para evitar ataques de ingeniería social, generar nuevos procedimientos y políticas de ciberseguridad y desplegar las tecnologías apropiadas al entorno para prevenir o mitigar los efectos que se pudieran producir. Uno de los aspectos clave es la monitorización de las redes industriales utilizando herramientas dedicadas y especializadas en los protocolos de comunicaciones OT que analizan comportamientos anómalos una vez han aprendido el comportamiento normal o base de la red, como por ejemplo las sondas de Nozomi Networks. Visualización de la red a través de una herramienta de monitorización industrial. Fuente: Nozomi Networks. Además de generar alertas cuando encuentre una acción maliciosa, estas herramientas también proporcionan una gran visibilidad de la red industrial ya que permiten obtener un inventario de los dispositivos conectados, lo cual puede ayudar a las empresas a descubrir equipos que no tuvieran identificados y que podrían ser una puerta de entrada a futuros ciberdelincuentes. Ahora bien, ¿qué se debe hacer con toda la información obtenida por estas sondas de monitorización industrial? Una de las opciones puede pasar por integrarlas con un SIEM (Security Information and Event Management), de tal manera que todas las alertas sean agregadas en el mismo lugar y se puedan correlar entre sí. Los procedimientos de respuesta ante incidentes requiere personal dedicado y especializado. Además, es necesario establecer un procedimiento de respuesta ante incidentes de ciberseguridad que determine qué acciones tomar según la tipología, severidad y la localización de cada una de las alertas. Pero todo ello no se podrá llevar a cabo si no se cuenta con personal dedicado y especializado en estas tareas de monitorización y de respuesta ante incidentes industriales. La importancia de la ciberseguridad en entornos industriales Los riesgos de ciberseguridad industrial siguen creciendo con el paso del tiempo, ya que las redes industriales cada vez están más conectadas y expuestas a las redes IT o incluso Internet, además de que el número de amenazas crece de manera exponencial. Las ciberamenazas pueden tener gran impacto para la reputación personal y corporativa (pérdida de confianza del cliente), las operaciones financieras (multas por incumplimiento normativo) y de negocio (paradas no programadas de la producción), además de posibles responsabilidades jurídicas (consecuencias legales por no conformidad con leyes y normas de seguridad física y medioambiental). Es por ello por lo que es crucial aplicar medidas de ciberseguridad en los entornos industriales, gestionarlas y mejorarlas para mantener y aumentar su eficacia frente a cualquier ciberataque. Imagen principal: Umit Yildirim / Unsplash