Amenazas cibernéticas en la industria: un reto para la ciberseguridad OT (2ª parte)

En un mundo hiperconectado, la ciberseguridad se ha convertido en una preocupación crucial para todos, y la industria no es una excepción. La importancia de la producción industrial, junto con las graves consecuencias de un posible ataque, la convierten en un objetivo atractivo para los ciberdelincuentes. Desde interrupciones en la producción hasta peligros para las instalaciones, las personas y el medio ambiente, así como pérdidas económicas significativas y daños a la reputación, la necesidad de una estrategia robusta de ciberseguridad industrial no puede ser subestimada. En este contexto, queremos explorar las amenazas emergentes, las mejores prácticas y las soluciones específicas necesarias en el campo de la ciberseguridad industrial. Sobre ello, hemos preguntado a expertos de Accenture, Ayesa, Cisco, Fortinet, Iturcemi, KPMG, Mytra, Nozomi, Secure&IT (filial del Grupo LKS Next enfocada a Ciberseguridad) y Trend Micro.

PREGUNTAS

1. ¿Cuáles son las principales diferencias entre la ciberseguridad IT y la ciber OT y por qué es relevante entenderlas para proteger los sistemas de control industrial?

2. ¿Cómo están evolucionando los ciberdelincuentes sus métodos de ataque a infraestructuras críticas?

3. ¿Qué papel juega el factor humano en la ciberseguridad industrial? ¿Cómo podemos concienciar y formar a los trabajadores para que sean la primera línea de defensa contra las ciberamenazas?

4. ¿Quién tiene la responsabilidad principal en la ciberseguridad industrial: usuarios, integradores, proveedores de tecnología o gobiernos? ¿Cómo se puede fomentar una colaboración efectiva entre todos los actores para crear un ecosistema industrial más seguro?

1.- La ciberseguridad IT se centra en la protección de datos e información, con un enfoque en la prevención de acceso no autorizado y la protección de la confidencialidad de los datos. Las actualizaciones de seguridad en IT se aplican rápidamente para mitigar vulnerabilidades y las redes suelen ser abiertas, con un fuerte énfasis en la seguridad de la red. Los usuarios principales de IT son el personal de oficina y los equipos de TI.

Por otro lado, la ciberseguridad OT se enfoca en garantizar la disponibilidad y seguridad de los procesos físicos. Su principal objetivo es la resiliencia y la continuidad operativa de los sistemas de control industrial. Las actualizaciones de seguridad en OT se aplican con cuidado para evitar interrupciones en los procesos críticos, y las redes suelen ser cerradas y aisladas. Los usuarios de OT son principalmente ingenieros y personal de planta.

Entender estas diferencias es crucial para proteger los sistemas de control industrial, ya que los enfoques de seguridad deben adaptarse a las necesidades específicas de cada entorno. La ciberseguridad OT se centra en la continuidad operativa y la integridad de los procesos industriales, mientras que la ciberseguridad IT prioriza la protección de datos. Una estrategia de seguridad efectiva debe integrar ambos enfoques para asegurar una protección integral.

2.- Los ciberdelincuentes están adaptando sus métodos de ataque a infraestructuras críticas de manera sofisticada y técnica. Algunas de las técnicas que están utilizando son:

• El uso de malware sofisticado, como variantes de Stuxnet, permite evadir detección y persistir en sistemas críticos, causando daños significativos.
• Los ataques de ransomware ahora incluyen cifrado de datos, exfiltración de información sensible y amenazas de ataques DDoS si no se paga el rescate.
• El uso de vulnerabilidades de día cero permite a los atacantes infiltrarse en sistemas antes de que se apliquen parches de seguridad, explotando fallos desconocidos.
• Comprometer proveedores de software o hardware para infiltrarse en las redes de sus clientes, como el ataque a SolarWinds, se ha vuelto más común.
• Los ciberdelincuentes aprovechan configuraciones incorrectas y vulnerabilidades en servicios en la nube para lanzar ataques DDoS o alojar malware.
• Los ataques de phishing y spear phishing dirigidos a empleados de infraestructuras críticas siguen siendo efectivos para obtener acceso inicial a redes internas.
• El uso de inteligencia artificial y aprendizaje automático permite automatizar ataques y mejorar la eficacia de los métodos de ciberataque.

Estas tendencias subrayan la necesidad de medidas de seguridad avanzadas y vigilancia constante para proteger infraestructuras críticas.
 

3.- El factor humano es crucial en la ciberseguridad industrial, ya que los empleados pueden ser tanto una defensa esencial como una vulnerabilidad. Los errores humanos, como contraseñas débiles o la apertura de correos de phishing, son responsables de muchas brechas de seguridad. Además, los ataques de ingeniería social dependen de la manipulación del comportamiento humano.

Para que los trabajadores tengan conciencia de ciberseguridad podemos desarrollar estas prácticas:

• Formación continua: implementar programas de formación actualizados regularmente sobre las últimas amenazas y técnicas de ataque.
• Simulaciones de ataques: realizar ejercicios de phishing y otros ataques para que los empleados aprendan a reconocer y responder adecuadamente.
• Cultura de seguridad: promover la importancia de la ciberseguridad desde la alta dirección y asegurar que todos comprendan su papel en la protección de la empresa.
• Políticas claras: establecer y comunicar políticas sobre el uso de sistemas y datos.
• Tecnología de apoyo: utilizar autenticación multifactor y gestión de identidades para reducir errores humanos.
• Educación en ingeniería social: enseñar a los empleados a identificar y evitar tácticas de ingeniería social.

Estas estrategias ayudan a fortalecer la primera línea de defensa contra las ciberamenazas.
 

4.- La responsabilidad en la ciberseguridad industrial es compartida entre usuarios,

integradores, proveedores de tecnología y gobiernos:

• Deben seguir políticas de seguridad y reportar actividades sospechosas. La formación continua es esencial. 
• Aseguran que las soluciones cumplan con los estándares de seguridad y sean resistentes a ciberataques. 
• Desarrollan productos seguros, aplican parches regularmente y ofrecen soporte continuo. 
• Establecen regulaciones y estándares, fomentan la colaboración público-privada y proporcionan recursos para la investigación y respuesta a incidentes.

1. Foros y alianzas: plataformas para compartir información y mejores prácticas. 
2. Programas de concienciación: campañas educativas sobre ciberseguridad. 
3. Normativas comunes: regulaciones que aseguren un nivel mínimo de seguridad. 
4. Investigación conjunta: proyectos colaborativos para desarrollar nuevas tecnologías y estrategias de defensa. 

Una colaboración efectiva es esencial para un ecosistema industrial seguro y

resiliente.
 

1.- De acuerdo con la definición de una reconocida firma de análisis “OT son prácticas y tecnologías que se utilizan para proteger personas, activos e información, monitorizar o controlar dispositivos físicos, procesos y eventos, e iniciar cambios de estado en los sistemas de OT empresariales”. Como su propio nombre indica, OT son tecnologías centradas en la “operación”, es decir, involucradas directamente con los procesos operativos de la empresa. Por su parte, las tecnologías de la información (TI) ponen el foco en la información. En resumen, la tecnología operativa se enfoca a procesos con controles y protecciones en tiempo real, mientras que la tecnología de la información (TI) gestiona solamente datos.

Si nos centramos en sus principales diferencias, que son múltiples, cabría destacar que el impacto en la sociedad ante el fallo de tecnologías OT es mucho más sensible y puede conllevar fallos en cascada.

Además, el entorno OT se caracteriza por su dispersión geográfica y su localización compleja en zonas incluso de difícil acceso, lo que requiere que los equipos responsables de sus sistemas trabajen en condiciones complicadas. Imaginemos, por ejemplo, un aerogenerador en lo alto de una montaña o una fábrica a miles de kilómetros de los servicios centrales. Por otro lado, los dispositivos que forman parte de los entornos OT (instrumentos, motores, controladores, protecciones…) son muy variados y con muchos fabricantes específicos de cada sector de actividad, con lo que supone en heterogeneidad para la gestión del parque de activos y de la cadena de suministro. Por último, al tratarse de industrias críticas para la sociedad, los entornos OT cuentan con una regulación muy estricta y específica.

Teniendo en cuenta que la convergencia TI-OT es un hecho que sigue avanzando, es imprescindible conocer las particularidades de los entornos OT para protegerlas frente a las amenazas y vulnerabilidades conocidas en TI que también les pueden afectar.
 

2.- El reciente Informe global sobre el Estado de la Tecnología Operativa y la Ciberseguridad 2024 de Fortinet confirma que sigue habiendo muchos puntos ciegos en su entorno. Los datos del informe reflejan que, desde el pasado año, ha disminuido el porcentaje de organizaciones que afirmaban tener una visibilidad completa de los sistemas OT dentro de sus operaciones centrales de seguridad, pasando del 10% al 5%. Sin embargo, los que afirman tener un 75% de visibilidad han aumentado, lo que sugiere que las organizaciones están adquiriendo un conocimiento más realista de su postura de seguridad.

Las intrusiones de ransomware o wiper siguen aumentando, de hecho, más de la mitad (56%) de los encuestados confirmaron haber sufrido estos ataques, por lo que hay margen de mejora en relación con la visibilidad de la red y las capacidades de detección.
 

3.- El factor humano es determinante para frenar las ciberamenazas y así lo corroboramos en el último informe que realizamos sobre la brecha de competencias en ciberseguridad de Fortinet en el que se reveló que cada vez más las organizaciones atribuyen las brechas de seguridad a la falta de competencias en esta materia. Para el 30% de las organizaciones encuestadas en EMEA, la inteligencia sobre ciberamenazas es la competencia más necesaria, si bien en el caso de España solo el 18% de las mismas la señalaron como la más importante.

Para hacer frente a esta problemática, las organizaciones están adoptando un triple enfoque de la ciberseguridad que combina formación, concienciación y tecnología. Conscientes de esta necesidad de formación, en Fortinet nos hemos marcado como objetivo formar a un millón de personas en ciberseguridad para 2026 y ya nos estamos acercando al medio millón.

4.- La responsabilidad no recae en un solo actor, sino que es una responsabilidad compartida que no cae únicamente en el responsable de ciberseguridad o el CISO. De hecho, la regulación NIS2 avanza en apuntar hacia el negocio y el comité de dirección como responsables últimos, el peso del negocio en el éxito de las iniciativas de ciberseguridad es absolutamente decisivo en la ciberseguridad industrial.

Por otro lado, esta misma regulación apunta a la seguridad de la cadena de suministro, lo que supone un gran reto para los usuarios finales.

Fortinet es uno de los primeros proveedores de ciberseguridad que ha firmado el compromiso Secure by Design de CISA, lo que confirma nuestro compromiso a una cultura de transparencia integral responsable con la seguridad de nuestros clientes.

La colaboración con todo el ecosistema, tanto asociaciones públicas como privadas, ha sido siempre una de nuestras prioridades. Somos miembro fundador de la Network Resilience Coalition y de la Cyber Threat Alliance (CTA), pertenecemos a la Joint Cyber Defense Collaborative (JCDC), y colaboramos con otras entidades líderes a nivel mundial como miembros fundadores del Centro para la Ciberseguridad (C4C) del Foro Económico Mundial.

1.- La principal diferencia se basa en la disponibilidad de la información, siendo prioritaria en OT, mientras que en IT el foco se centra en la confidencialidad de la información. El fijar el foco en la disponibilidad suele ser el principal obstáculo que se encuentran los profesionales que desde IT afrontan proyectos orientados a OT, ya que, por ejemplo, un sistema industrial no puede ser detenido “aleatoriamente” para carga de actualizaciones, las comunicaciones en redes industriales deben estar limitadas a las propias del proceso, por lo que es necesario una segmentación profunda o las gestiones de accesos deben ser tratadas con diferentes perspectivas debido a la criticidad de los sistemas, evitando por ejemplo los cierres automáticos de sesión o la caducidad de contraseñas en usuarios de servicios.
 

2.- La hiperconectividad que está inundando el mundo industrial abre la puerta a nuevos vectores de ataque que antes no existían. Tradicionalmente, el principal riesgo en las instalaciones industriales venía por la intervención humana, bien debido a fallos en el manejo de sistemas, bien debido a sabotajes u operaciones malintencionadas. Hoy en día, los sistemas de la capa de operación están altamente relacionados con los sistemas de la capa de información, e incluso con conexiones a ubicaciones en la nube, lo que abre la puerta a una gran variedad de ataques que anteriormente se focalizaban en la capa de información. El cifrado y secuestro de equipos de supervisión o la corrupción de la información enviada a los sistemas de control provoca paradas en los sistemas de operación que pueden conllevar pérdidas millonarias a las compañías, por lo que es fundamental volcar esfuerzos en la protección de los activos, con estrategias básicas como la segmentación de zonas y conductos.
 

3.- Sin duda alguna, el factor humano es clave a la hora de afrontar cualquier programa de ciberseguridad industrial. En muchas ocasiones, las medidas de ciberseguridad a implementar pueden conllevar modificaciones en metodologías de trabajo y es necesario la implicación absoluta de todo el personal de la instalación. Es necesario programas planes de concienciación para que toda la plantilla de una instalación vaya asumiendo la importancia de la ciberseguridad para el negocio y entendiendo que ya no es un asunto exclusivo de informáticos, sino que es un concepto de ámbito global, de la misma manera que la seguridad laboral. Un incidente de ciberseguridad industrial puede ocasionar no solo pérdidas económicas, como en el caso de la capa de información, sino que puede generar incidentes mucho más graves afectando a la salud de las personas.
 

4.- La responsabilidad en la ciberseguridad industrial es coral, todos los actores participantes en el sistema tienen su cuota de responsabilidad y deben implicarse en el cumplimiento y promoción de las políticas de ciberseguridad. Los gobiernos tienen que fijar regulaciones y fomentar normativas que sean adaptables de manera razonable en el tiempo, y que no supongan inversiones desproporcionadas respecto al tamaño de la empresa. La dirección de las empresas ha de involucrarse al diseñar e implementar programas de ciberseguridad, dedicando los recursos humanos y económicos necesarios. Por último los trabajadores deben tener muy presente las políticas diseñadas y esmerarse en su cumplimiento.

Para conseguir que todos los actores colaboren en obtener resultados, la concienciación es fundamental. El ejemplo con el que hay que compararse es la seguridad laboral, como hace 20 años el uso de EPIs obligatorios era casi anecdótico en muchas empresas, y hoy en día es impensable acceder a un centro de producción sin las medidas de protección adecuadas. En esa línea es en la que se debe avanzar, de manera que la ciberseguridad este integrada en las primeras fases de diseño de las soluciones productivas, sea fomentada por la dirección, no solo por el cumplimiento de regulaciones, sino como propia política empresarial, y aceptada y aplaudida por los trabajadores, reconociendo un puesto de trabajo mucho más seguro y estable.
 

1.- La ciberseguridad, aunque comparte los mismos conceptos tanto en el entorno corporativo (IT) como en el industrial (OT), es diferente en su aplicación y en los objetivos que se buscan proteger. En los entornos corporativos, el principal enfoque es mantener la confidencialidad de los datos y la integridad de los mismos, mientras que en los sistemas industriales, la prioridad recae sobre la disponibilidad. En este contexto, asegurar que los sistemas continúen operando sin interrupciones es fundamental, ya que una paralización puede tener un impacto económico directo en la empresa afectada.

Aunque esta diferencia es generalmente aceptada, hay matices importantes según la industria. Por ejemplo, en el sector farmacéutico, además de garantizar la continuidad operativa, es crucial proteger la confidencialidad de las fórmulas y recetas, y evitar manipulaciones que podrían generar productos dañinos para la salud. En la industria alimentaria o en la gestión de recursos como el agua, cualquier alteración de los parámetros controlados podría tener consecuencias graves para los consumidores, llegando incluso a poner en peligro la vida de las personas.

En el ámbito IT, los sistemas suelen ser fácilmente parcheables y mantenidos al día, lo que reduce las vulnerabilidades. Además, se pueden implementar soluciones de seguridad como antivirus (EDR, XDR) que refuerzan la protección. Sin embargo, en los entornos industriales, los equipos como los PLCs y HMIs son mucho más antiguos y fueron diseñados sin tener en cuenta la ciberseguridad. Estos dispositivos suelen operar con protocolos no autenticados y sin cifrado, lo que los hace todavía más vulnerables. Además, son difíciles de parchear, ya que cualquier interrupción en su operación para actualizarlos puede ser muy costosa y disruptiva, y, muchas veces, con un coste difícilmente justificable.

Por ello, la ciberseguridad en entornos ciberfísicos no solo implica pérdidas económicas o de datos, sino que puede suponer un riesgo directo para la vida de las personas. Es vital comprender estas diferencias para proteger adecuadamente estos y detectar y mitigar los riesgos asociados.
 

2. - Los ciberdelincuentes están aprovechando las vulnerabilidades de los sistemas ciberfísicos, que a menudo no fueron diseñados pensando en la ciberseguridad. Estas vulnerabilidades, cada vez más conocidas, permiten a los atacantes comprometer infraestructuras críticas con un gran impacto. Además, los ataques se han vuelto más sofisticados, utilizando ransomware, espionaje industrial y ataques promovidos por Estados. Los ciberdelincuentes también están aprovechando nuevas tecnologías como la inteligencia artificial para automatizar ataques.

Un enfoque al alza es atacar la cadena de suministro y los dispositivos IoT, ya que muchos no están bien protegidos y pueden ser un punto de entrada a redes más amplias y con más impacto. Las motivaciones han pasado de ser principalmente económicas a incluir el caos, la interrupción de servicios esenciales o la influencia política. También es común que los ataques sean de larga duración y difíciles de detectar, permaneciendo en los sistemas antes de provocar daños mayores.
 

3.- El factor humano, tanto en el ámbito corporativo como en el industrial, sigue siendo el principal vector por el que penetran los ciberataques. Siempre insisto en mis charlas que, a menudo, no hay mejor "hacker" que el propio operario de turno de noche que, por ejemplo, busca ver un partido en línea desde el equipo de la planta. Este tipo de acciones puede generar vulnerabilidades que los ciberdelincuentes pueden explotar fácilmente.

Es indispensable formar y concienciar a los trabajadores de la misma manera que se hace en prevención de riesgos laborales. Todos deben entender que sus acciones con los equipos disponibles en la empresa pueden suponer un riesgo. Cada herramienta y sistema tiene un propósito específico y aunque en el corto plazo algo pueda parecer beneficioso, es esencial considerar que toda acción conlleva un riesgo asociado. Por eso, los empleados deben estar informados sobre ello, ser conscientes de los mismo, y aprender a evaluar si el beneficio compensa el riesgo o preguntar a un responsable-decisor que sea quien lo evalúe.

Afortunadamente, en los últimos años, hemos avanzado mucho en España en cuanto a la concienciación sobre ciberseguridad. Anteriormente, el tema se veía como algo lejano, algo que "algún día habría que tratar". Hoy, la mayoría de personas con las que hablo ya entienden que es un tema imprescindible. Muchos han sido víctimas de ciberataques o conocen a alguien que lo ha sido, ya sea por estafas, robo de datos o ataques de ransomware.

Aunque hemos mejorado en la toma de conciencia, es necesario continuar educando a las personas sobre los riesgos y cómo identificarlos. Debemos fomentar una cultura de precaución y reflexión, para que, ante cualquier actividad sospechosa (o no), los trabajadores se detengan a pensar en las posibles consecuencias antes de actuar.

4.- La responsabilidad en la ciberseguridad industrial es compartida entre usuarios, integradores, proveedores de tecnología y gobiernos. Cada uno desempeña un papel crucial y el éxito en proteger las infraestructuras críticas depende de una colaboración efectiva entre todos.

Los integradores, por su parte, no solo implementan soluciones, sino que también deben garantizar que cumplen con los más altos estándares de ciberseguridad. Al estar certificados y pasar auditorías rigurosas, pueden añadir valor a sus servicios, minimizando los riesgos que podrían introducir a las empresas a las que sirven. Igualmente, los proveedores de tecnología tienen la responsabilidad de desarrollar productos seguros desde su diseño, con protocolos actualizados que permitan a las organizaciones enfrentar las amenazas emergentes.

Los gobiernos, como en el caso de España con el Incibe, tienen la obligación de legislar y normativizar. La implementación de regulaciones como la directiva NIS II en Europa, y su adaptación en el país, está ayudando a concienciar a todos los actores sobre la importancia de poner medios efectivos para mitigar los ciberriesgos.

Una colaboración sólida es esencial. Crear espacios de intercambio de información y mejores prácticas entre sectores, junto con alianzas público-privadas, permitiría construir un ecosistema industrial más seguro y resiliente frente a las ciberamenazas.

1.- Cuando hablamos de seguridad en entornos industriales, tenemos que entender que es un entorno en el que prevalece la producción por encima de todo y que una mala práctica o aplicación de política de seguridad puede hacer perder millones o incluso afectar a vidas humanas. Si en una red IT ponemos una política de seguridad en la que un usuario o grupo de usuarios dejan de navegar, no es algo del todo crítico, pero si se cortan las comunicaciones o la ejecución de un proceso en un entorno industrial puede tener repercusiones económicas millonarias.

2.- En los últimos dos años se observa un cambio en la mentalidad de las empresas hacia este tipo de entornos debido a la criticidad de los mismos, y que nunca han sido pensados ni diseñados teniendo en cuenta la seguridad informática.

Se sabe que gran número de sistemas están desprotegidos, en muchos de los casos porque al ser redes aisladas, o supuestamente aisladas, se piensa que no es necesario proteger. La realidad es que las soluciones que se desplegaban para este tipo de entorno siempre habían sido soluciones pensadas en IT, y esto ha hecho que se descartasen las protecciones por el gran número de falsos positivos que puede llegar a dar una solución de IT en este tipo de entornos.

A día de hoy, gran número de empresas han empezado a abordar la protección de este tipo de entornos OT y sobre todo desde una primera fase inicial: la de descubrimiento, es decir, conocer el entorno en el que se ha de trabajar.

Antes de poner en marcha una política de seguridad es importante saber a qué nos enfrentamos:

• Qué sistemas operativos y versiones tenemos
• Qué aplicativos
• Qué tipos de dispositivos

Esto nos permite tener una primera fase para hacer un análisis de riesgo de nuestro entorno industrial y proceder a una toma de decisiones adecuada.
 

3.- Hay que partir de la base de que tenemos que tener en cuenta que las personas que operan las redes industriales son personas que no han sido formadas en seguridad informática y su trabajo es velar por la producción de la empresa.

Es importante que se les informe debidamente de la importancia de los datos que están tratando, de cuán perjudicial puede ser usar un dispositivo de almacenamiento externo dentro de una red industrial y, lo más importante, no solo hay que formarles a ellos, sino que nosotros, como expertos en seguridad, tenemos que entender su trabajo día a día para adecuar la seguridad a su manera de trabajar. Esto es clave.

Se trata de una información bidireccional para que una política de seguridad tenga éxito en una red de producción OT.

4.- Todos los que acceden o deben acceder a la red industrial deben tener la concienciación de seguridad. De nada vale que una empresa ponga todas las protecciones necesarias si llega un proveedor y no tiene la misma consideración con los datos o los accesos del cliente.

Las redes industriales están categorizadas en base a un nivel de criticidad. Por ejemplo, una red de transportes es una red crítica, con lo cual, además de que los propios trabajadores y proveedores deben formar parte de la seguridad, el gobierno tiene que tomar la misma responsabilidad y concienciación. ¿Qué ocurriría si se recibe un ataque informático y se paralizan las redes de transporte o los suministros de agua y luz?

Sobre cómo se puede fomentar una colaboración efectiva entre todos los actores para crear un ecosistema industrial más seguro, hay que decir que la compartición de información y de experiencias es una de las acciones más efectivas, seguimos siendo demasiado reticentes a compartir nuestras “vergüenzas”, pero esto puede hacer que una empresa que ya se haya enfrentado a un problema de seguridad pueda habilitar a otra para prevenir o mejorar sus sistemas.

----

Este artículo aparece publicado en el nº 558 de Automática e Instrumentación, pág de 44 a 48.