Ciberseguridad: nuevos riesgos y cambios en las amenazas de los sistemas de control industriales

Según las predicciones expuestas en un informe elaborado por los analistas del CERT ICS de Kaspersky, una compañía global de ciberseguridad y privacidad digital, aumentan los vectores de ataque por el incremento de la digitalización, las actividades de ciberdelincuencia de los propios empleados de las empresas y los ataques de ransomware sobre infraestructuras críticas. Los ciberatacantes también explotarán aspectos técnicos, económicos y geopolíticos.

Los expertos de Kaspersky predicen un cambio en las amenazas avanzadas persistentes (APT) contra las organizaciones y dispositivos inteligentes (OT) en nuevos sectores industriales y localizaciones, como la agricultura, logística y transporte, energía, alta tecnología, farmacéuticas y fabricantes de equipos médicos, que sufrirán más ataques el próximo año, aunque los objetivos tradicionales, como los militares y gubernamentales, seguirán estando en el punto de mira.

Debido al aumento de la digitalización en áreas como IIOT y SmartXXX, incluyendo los sistemas de mantenimiento predictivo y los gemelos digitales, las posibilidades de ataque se amplían, y esta tendencia que se ve claramente en las estadísticas de ataques a los sistemas de gestión de mantenimiento computerizados (CMMS) durante la primera mitad de este año 2022. Curiosamente, los primeros diez países por número de ataques contra estos sistemas son considerados los que tienen niveles más altos de seguridad.

El aumento de los precios de la energía y el hardware son factores que empujarán a muchas empresas a apostar por la infraestructura en la nube a través de proveedores externos en detrimento de la infraestructura local, lo que amplía de forma clara la ampliación de estos vectores de ataque. Esto también puede afectar a los sistemas de información (SI).  

Las amenazas también se enfocarán en los transportes no tripulados, que serán tanto objetivos como herramientas de ataque.

Otros riesgos que se deben tener en cuenta son el aumento de la actividad delictiva para recolectar credenciales de los usuarios, además de las amenazas que supondrán algunos empleados de la propia empresa que a su vez trabajan con grupos criminales que tienen la extorsión y las amenazas persistentes avanzadas como base de sus actividades. Estos trabajadores internos serán activos en las plantas de producción, además de en los desarrollos tecnológicos, los fabricantes de productos y los proveedores de servicio.

La incidencia geopolítica en los acuerdos de la empresa con otros socios también tiene un efecto global en la ciberseguridad industrial, algo que será más evidente en 2023. Junto al aumento de la actividad en el caso de hacktivistas que trabajan en favor de intereses políticos tanto locales como internacionales, veremos cada vez más ataques de ransomware a infraestructuras críticas por el hecho de que son difíciles de detectar.

El deterioro de la cooperación internacional en la aplicación de la ley hará aflorar ciberataques en países considerados como adversarios. Al mismo tiempo, las soluciones desarrolladas a nivel local pueden comportar nuevos riesgos debido a que el software tenga errores de configuración y vulnerabilidades de tipo Zero Day que serán una puerta abierta tanto para ciberdelincuentes como hacktivistas.

Las organizaciones afrontarán nuevos riesgos, como la reducción en la detección de amenazas por los errores de comunicación entre los empleados dedicados a la seguridad de la información y los analistas de este sector que ejercen su actividad en países actualmente en situación de conflicto. También se verá un decrecimiento en la calidad de la inteligencia sobre las amenazas, que llevará a los gobiernos a tratar de controlar la información sobre incidentes, amenazas y vulnerabilidades. El papel cada vez mayor de los gobiernos en la operativa del sector industrial, incluidas las conexiones a la nube y los servicios estatales -muchas veces menos protegidos que en el caso de empresas privadas de peso en el sector de la ciberseguridad-, generará riesgos adicionales en los sistemas de información. Por ello, existen mayores peligros en la fuga de datos confidenciales debido a la notable cantidad de empleados poco cualificados en las instituciones públicas, además de una cultura y prácticas internas de seguridad aún por implantar.

 Nuevas técnicas y tácticas que tener en cuenta en futuros ataques

Los analistas del CERT ICS de Kaspersky también señalan las técnicas y tácticas que se espera afloren en 2023: Phishing y código malicioso en webs legítimas; distribución de troyanos embebidos en generadores de claves, parches y software de uso extendido; correos de phishing ligados a la actualidad, con contenido dramático, incluyendo hechos políticos; documentos robados en ataques anteriores a organizaciones relacionadas con la empresa se usarán como cebo en correos electrónicos de phishing; difusión de correos desde buzones de empleados y partners enmascarados como mensajes de trabajo legítimos, vulnerabilidades de tipo N-day: se ralentizarán a medida que las actualizaciones de seguridad estén disponibles en los mercados; aprovechamiento de errores básicos como el uso de contraseñas predeterminadas y vulnerabilidades básicas de tipo Zero-Day en productos de nuevos proveedores, incluidos los locales.

En cuanto a los ataques a servicios en la nube, enumeran las siguientes tácticas: utilización de errores de configuración en soluciones de seguridad, por ejemplo, los que permiten desactivar el antivirus; uso de servicios populares en la nube, como CnC (incluso después de detectar un ataque, es posible que no se pueda bloquear porque determinados procesos comerciales importantes dependen de la nube); explotación de vulnerabilidades en software legítimo como DDL Hijacking y BYOVD (Bring Your Own Vulnerable Driver) para, por ejemplo, sortear el nodo final de seguridad; distribución de malware a través de medios extraíbles (discos duros, USB, DVD, CD, etc.)

En palabras de Evgeny Goncharov, director del CERT ICS de Kaspersky, “2022 ha sido un año lleno de incidentes de ciberseguridad que han causado muchos problemas a los propietarios y operadores de los ICS. Sin embargo, no vemos cambios catastróficos repentinos en el mapa de amenazas ni ninguna difícil de controlar, a pesar de algunos llamativos titulares en prensa. Al analizar los incidentes de 2022 podemos afirmar que hemos entrado en una era en la que los cambios más significativos en las amenazas sobre los ICS están marcados principalmente por la geopolítica y los factores macroeconómicos derivados de ella. Los cibercriminales son cosmopolitas, pero prestan mucha atención a las tendencias políticas y económicas mientras buscan ganar dinero fácilmente. Esperamos que nuestro análisis de futuros ataques sea útil para que las organizaciones se preparen de cara a las nuevas y emergentes amenazas”.

Es posible acceder a las predicciones completas del informe de 2023 para los ICS en Securelist