Como es lógico, los ciberdelincuentes tratan de encontrar objetivos fáciles para hacerse con suculentos botines y las plantas de fabricación y las vulnerabilidades que ofrecen muchas de ellas, hacen que estén señaladas como objetivos principales de manera cada vez más frecuente.
El ransomware se ha convertido en una gran amenaza para la industria a medida que los grupos delictivos cibernéticos se interesan cada vez más en atacar los sistemas de control industrial que administran las operaciones. Tanto es así que según un análisis realizado por investigadores de ciberseguridad de la empresa de seguridad Dragos, el número de ataques de ransomware registrados públicamente contra la industria se ha triplicado solo en el último año.
Aunque gran parte de la fabricación se basa en la TI tradicional, algunos elementos de la fabricación se asientan sobre sistemas de control industrial cuando se fabrican productos en masa, y esa es un área a la que los ciberdelincuentes buscan dirigirse cada vez más.
Para los ciberdelincuentes, la fabricación es un objetivo altamente estratégico porque en muchos casos se trata de operaciones que no pueden permitirse el lujo de estar paradas durante prolongados periodos de tiempo. Así, lo más seguro es que terminen por ceder a las demandas de los que realizan el ataque y acaben pagando cantidades importantes en bitcoins a cambio de poder recuperar su red.
La naturaleza de la fabricación implica que los activos industriales y de redes a menudo están expuestos a Internet, lo que proporciona vías para que los grupos de los ciberdelincuentes y las bandas que se dedican específicamente al ransomware obtengan acceso a la red a través de tecnología de acceso remoto, como el protocolo de escritorio remoto y los servicios VPN o vulnerabilidades en sistemas sin parches de seguridad, siendo este último uno de los problemas más importantes y recurrentes.
Los ciberdelincuentes utilizan el ransomware como sistema de ataque porque a menudo es la forma más rápida y sencilla de ganar dinero comprometiendo una gran red. Pero al hacerse con el control suficiente de la red para introducir el ransomware, frecuentemente también suelen poder acceder a la propiedad intelectual y a los datos confidenciales de la fábrica que igualmente también suele estar accesible en la misma red de la compañía. Esto provoca que en ocasiones, los delincuentes utilicen el ransomware como una cortina de humo para ataques diseñados para robar propiedad intelectual, lo que podría ser aún más dañino a largo plazo.
Y no hay que dejar la lado la posibilidad que les supone extorsionar a terceros. A veces, los datos extraídos en uno de estos ataques tienen que ver con terceros, como proveedores, clientes y socios. Los delincuentes también pueden usar los datos para exigir un rescate a esas entidades afectadas de rebote.
Por estas razones se deben tomar medidas como realizar revisiones periódicas de la arquitectura para identificar activos, garantizar que los dispositivos y servicios se mantengan actualizados y realizar un análisis de la joya de la corona para identificar posibles debilidades que podrían interrumpir la continuidad del negocio.
Para hacerse una idea del poder debilitador que el ransomware tiene ahora mismo frente a la industria, baste con apuntar que el número de ataques de ransomware a empresas industriales reportados se multiplicó por más de tres en 2020 en comparación con el año 2019. De ahí la razón de que resulte urgente adoptar estrategias de seguridad de defensa en profundidad y tener controles preventivos, de detección y correctivos, efectivos para reducir el riesgo.
Cómo reducir el riesgo de ransomware
Contar con la colaboración experta de una consultora como HEXA Ingenieros es un paso de gigante para evitar caer en trampas mortales como las que resultan a través del ransomware.
Es importante invertir en capacitar a los empleados. Estos deben comprender los sistemas de seguridad de la empresa y saber qué pueden hacer para proteger la organización. Los delincuentes a menudo penetran en los sistemas mediante el phishing. Un empleado que comprende la seguridad es menos probable que caiga en según que errores que puedan comprometer a la empresa.
Se deben realizar evaluaciones de vulnerabilidad en sistemas de control clave para identificar y remediar cualquier problema de seguridad del software. También resulta fundamental tener una segmentación adecuada entre las redes de TI y OT, revisando con regularidad todos los activos, conexiones y comunicaciones entre ambas redes.
A medida que las operaciones de fabricación se vuelven cada vez más conectadas, es importante tener una buena visibilidad de los activos, procesos y conexiones externas. Las empresas deben monitorizar las conexiones de red salientes de las redes OT para detectar cualquier comportamiento de amenaza malicioso.
Asimismo, con la pandemia de la Covid-19 muchas compañías se han visto obligadas a que muchos de sus procesos se hayan convertido en remotos, lo que obliga a que las empresas aseguren de manera muy especial cualquier acceso remoto a los sistemas industriales para reducir el riesgo de ataques cibernéticos. Cada empleado conectado remotamente se ha convertido en una oficina concreta a vigilar.
Las compañías pueden recuperarse rápidamente si cuentan con una buena política y procedimientos de copia de seguridad y restauración. Deben mantener copias de seguridad recientes online y offline para garantizar que su sistema se pueda restaurar correctamente. Además, también es importante que tengan un plan de respuesta a incidentes completo y bien probado para responder a cualquier amenaza cibernética y debe diseñarse teniendo en cuenta las preocupaciones de OT.