Redes OT bajo ataque

Autor: Enrique Azuara.

El impacto

La llegada de la digitalización en los ambientes operativos industriales ha ayudado a aumentar la productividad, a la reducción de costos operativos y tiempos muertos, mejorando los márgenes financieros y ser un diferenciador frente a la competencia, entre otros, asimismo los riesgos y amenazas digitales se hacen cada vez más presentes en las redes OT (del inglés, Operational Technology) teniendo implicaciones negativas en caso de sufrir un ciberataque a aquellas infraestructuras que se encargan de proveer servicios críticos a la sociedad y que son fundamentales para las cadenas de suministros.

Estuvo cerca

El 13 de abril del 2023 en México, parecía ser un día común dentro de las instalaciones de la Comisión Nacional del Agua (CONAGUA), hasta que los funcionarios de las subdirecciones comenzaron a experimentar dificultades para acceder a los sistemas y presentaron fallos e interrupciones en su operación normal, por lo que, al realizar una inspección en los servidores, se dieron cuenta de que los sistemas han sido comprometidos por un ciberataque.

El equipo a cargo de la ciberseguridad de CONAGUA se dio cuenta de que este ciberataque supera su alcance de respuesta y deciden solicitar ayuda a la Dirección General Científica de la Guardia Nacional y a la Secretaría de Respuesta de Incidentes Cibernéticos y Protección Ciudadana, porque siempre es bueno reconocer que se necesita ayuda.

En conjunto estas instituciones comienzan las labores de investigación pertinentes y descubren que los cibercriminales lograron acceder a los datos confidenciales y sensibles de dicha institución, tales como: información de la infraestructura hidráulica, pronósticos del clima, datos de abastecimiento de agua, entre otros.

El modo de ataque fue a través ransomware que utiliza Blackbyte, un virus que encripta la información de los servidores. La afectación impactó a en sus oficinas centrales, organismos de cuenca y direcciones locales a nivel regional administrativo, en 23 estados, tal como lo informaron los medios, por lo que la institución decide suspender todas sus actividades hasta el 8 de mayo.

Luego del ataque la CONAGUA realizó ciertas acciones como respuesta al incidente, tales como actualizar sus sistemas, cambiar las contraseñas, continuar con el monitoreo intensivo de la red, continúa con el análisis forense para establecer cómo es que lograron ingresar al sistema y qué es lo que está comprometido.

Ya para el 10 de mayo la institución confirma que sus sistemas de suministro no han sido comprometidos, ni han sufrido modificaciones a su infraestructura. Esta vez estuvo muy cerca, porque a pesar de que aún tienen secuelas del ataque, principalmente en su sistema administrativo, los sistemas de la operación no sufrieron impacto.

En esta ocasión no hablamos de un ataque a la infraestructura OT, pero si realizamos el ejercicio de imaginar que los cibercriminales logran intervenir los sistemas operativos de la infraestructura de Conagua, esto significaría un posible desabastecimiento del vital líquido, una situación que podría provocar diversos problemas sociales, e incluso un gran impacto a la salud de las personas.

 Sobre los ataques OT

Cuando hablamos de un ataque a la infraestructura operativa crítica el impacto negativo a las ciudades y personas puede ser muy alto. Los ciberdelincuentes lo saben, por ello este tipo de organizaciones se vuelven blancos de ataque muy atractivos para ellos. Además, los cibercriminales se aprovechan de que, en algunos casos, dentro de los sistemas operativos existen muchas vulnerabilidades por su tecnología legacy que ya no tiene actualizaciones, lo que se convierte en una puerta de fácil acceso.

Los impactos de un ataque OT pueden ser:

  • Económicos
  • Impacto en la confianza y reputación de la organización
  • Riesgo para la seguridad pública
  • Daños físicos y ambientales
  • De seguridad nacional
  • A la salud e integridad de las personas

Industrias cada vez más seguras

En Cybolt estamos firmemente convencidos de que la digitalización es el camino adecuado y que la industria 4.0, trae grandes beneficios. No podemos detener el desarrollo tecnológico para evitar ser atacados, esta no es la estrategia correcta. Lo que debemos hacer es no perder de vista en todo momento la ciberseguriad, esta debe de ser la columna vertebral de toda estrategia tecnológica.

¡Visite nuestro sitio web para conocer todas nuestras soluciones enfocadas a OT!

Aquí algunas recomendaciones que podemos considerar para mantener las redes OT seguras:

  1. Visibilidad: saber qué está conectado y qué recursos se comunican entre sí será muy importante para conocer la superficie de ataque. Podemos realizar un inventario completo de todos los activos, en él se detalla todos los activos conectados a la red OT, así como los sistemas en uso y las versiones en las que están trabajando para considerar sus futuras actualizaciones o bien, tomar en cuenta aquellas sin actualizaciones disponibles.
  2. Segmentar: la red ayudará a poner límites y así evitar la propagación de los ataques. Con una estrategia de segmentación adecuada, en caso de una intrusión lo podremos detectar y detener a tiempo, con la seguridad de que no se propagó el ataque.
  3. Seguir estándares: apegarse a las mejores prácticas de estándares de la industria es el camino más seguro para mantenerse protegido. Siempre es bueno aprovechar el conocimiento de otros expertos.
  4. Reforzar los controles de acceso: contar con acciones de autenticación y control de acceso será de vital importancia para evitar intrusos por suplantación de identidad.
  5. Monitoreo constante: en tema de infraestructura crítica no se puede bajar la guardia, así que lo mejor será monitorear las redes las 24 horas los 365 días del año para detectar a tiempo anomalías. Lo anterior a través de herramientas que pueden enviar alertas para tomar acciones.
  6. Capacitación: el personal que opera los activos OT debe de estar informado sobre los riesgos existentes para que puedan tomar las medidas necesarias y detectar actividades sospechosas. Estas habilidades de desarrollan con capacitación y cursos de concientización constantes.
  7. Plan de respuesta a incidentes: contar con un plan ayudará a establecer los pasos a seguir en caso de incidente. Esto ayudará en gran medida a recuperarse más rápido.
  8. Pruebas de penetración: qué mejor que nosotros mismos detectemos las vulnerabilidades antes de que los cibercriminales lo hagan. Realizar pruebas de penetración de modo regular nos ayudará a estar un paso delante de los cibercriminales.

Conseguir asesoría de expertos en ciberseguridad previo a un ataque, es otra de las acciones que pueden cambiar el curso de cómo se desarrolla una amenaza. En Cybolt ayudamos a todas las industrias para proteger sus servicios de Tecnología Operacional, tales como: Sistemas de Control Industrial, Control de Supervisión y Adquisición de Datos y Sistemas de Control Distribuido, entre otros.

Escríbanos si requiere asesoría a: [email protected].

Seguir leyendo

Piezas clave para tu estrategia de protección de aplicaciones

Por: Emanuel Valle Conocer los elementos claves que requieres para proteger tus aplicaciones te ayudará a evitar los impactos negativos de ser expuesto a una brecha de ciberseguridad. De acuerdo con el...

Akira continúa ejecutando sus ataques con éxito

El nombre Akira resonó por primera vez apenas un año atrás y muy rápidamente se convirtió en uno de los principales grupos cibercriminales. Poco conocimiento se tenía de ellos entonces; sin embargo,...

Las 7 razones definitivas para invertir en proteger sus aplicaciones

Autor: Emanuel Valle. Las aplicaciones empresariales son necesarias para nuestra operación de negocio, pero al mismo tiempo pueden convertirse en un vector importante de ataque y dejar espacio para que los cibercriminales...

¿Deseas reducir las noticias más recientes? 

Subscríbete