No permita que su fábrica se convierta en la próxima víctima de ataques cibernéticos
31 de Julio de 2018La opinión de Anna Chan, Director, Media Industry Strategy en Akamai
En 2014, un refrigerador inteligente fue capturado in fraganti al generar más de 750,000 correos electrónicos no deseados luego de ser secuestrado por un ataque de botnet. Es el primer ataque documentado en todo el mundo para Internet of Things (IoT) que ha sido presa de los hackers. Un caso más reciente en EU se refiere a un termostato conectado a Internet en un acuario, que los hackers controlaron con éxito para acceder a la base de datos de apostadores de un casino.
Al otro lado del océano y en el Medio Oriente, una fábrica con un sistema de cierre de seguridad fue infiltrada por Triton, un software malicioso que explotó un error no detectado previamente y desde allí detuvo la operación de la fábrica.
En otro caso, los piratas informáticos ingresaron a la red de la empresa de una tienda en línea utilizando las credenciales y cuentas de correo electrónico de 3 de sus empleados y de allí se robaron la información personal y las contraseñas encriptadas de sus 145 millones de usuarios. La brecha no se detectó durante casi 230 días.
En febrero de este año, agentes del FBI detuvieron a un exempleado descontento de una fábrica en EU que se había colado a través de la puerta trasera abierta del VPN de la red de su patrón, lo que lleva a USD$1,1 millones en daños y perjuicios.
Esta lista continua de violaciones de seguridad y titulares que informan en la prensa, no se trata de "No me ha sucedido", sino más bien de un cambio de mentalidad de "No es si, sino cuándo". Sin embargo, dada la gran atención en los medios, los ciberataques continúan aumentando y las empresas se están quedando atrás en términos de adoptar una estrategia de seguridad proactiva. De hecho, la industria manufacturera fue recientemente destacada como la tercera industria más atacada, después de la banca y el comercio minorista. Los sectores de electrónica, semiconductores y fabricación de alta tecnología son especialmente vulnerables a los escenarios de amenazas, cuando Industry 4.0 los obligó a vincular su producción en fábrica -probablemente con una combinación de máquinas obsoletas y servidores SQL al final de la compatibilidad- con redes de tecnología de la información.
Entonces, ¿por qué estamos recibiendo este bombo súbito con incidentes de ciberseguridad ocurriendo dentro del sector de la fabricación? ¿Qué está motivando a estos hackers a cambiar su objetivo y elección de víctima de las otras industrias de alto perfil a la fabricación?
Echemos un vistazo más profundo a cada uno de estos casos de amenazas en un esfuerzo por comprender cómo y por qué ocurren estos incidentes de seguridad y qué pueden hacer los fabricantes para mitigar el riesgo de ser la próxima víctima de ciberseguridad.
Caso de amenaza 1: la seguridad no puede seguir el ritmo del IoT
La mayoría de los dispositivos de IoT para usuarios finales están diseñados para ser livianos, tienen capacidades de procesamiento limitadas y funciones casi "cero" en términos de seguridad. Los hackers simplemente están aprovechando estos dispositivos IoT, como en el caso del refrigerador inteligente y el termostato de la pecera, para ingresar a la red de la fábrica. Pueden hacerse cargo o controlar fácilmente un dispositivo habilitado para IP, extraer datos e implantar código malicioso que abre la puerta trasera de su sistema sin que se note.
Lo que hace que suene la alarma es que los atacantes aficionados o deshonestos pueden simplemente pagar tan solo USD $25.00 para obtener servicios de un pirata informático en línea. La rápida proliferación de dispositivos conectados o IoT sólo significará que la campana de advertencia se está encendiendo en una sirena, cuando la cantidad de dispositivos conectados, para uso doméstico o comercial, crezca de los actuales 8.400 a 50,000 millones para 2020, según algunos informes de investigación recientes.
Lamentablemente, cuando se encuentran problemas de seguridad, es casi imposible que una empresa retire su producto del mercado, ni puede resolverse por completo con actualizaciones de firmware o parches de software posteriores. Lo que debe hacerse requiere un esfuerzo concertado de los usuarios y fabricantes de IoT. Los consumidores de IoT deberían pensarlo dos veces antes de presionar el botón "Recordarme más tarde" o "Forzar salida" la próxima vez que reciban una alerta de una actualización. Del mismo modo, los fabricantes deben adoptar una perspectiva proactiva a la seguridad. Un caso ilustrativo es que los fabricantes pueden usar la red en la Nube como capa de defensa, al crear una conexión segura y autenticada entre el dispositivo del usuario final y su servidor de origen.
Caso de amenaza 2: la automatización de la fábrica se convierte en la laguna del rescate
Para cualquier empresa de manufactura, la pérdida de propiedad intelectual y el tiempo de inactividad en las operaciones de la fábrica son la mayor amenaza. Si bien la tecnología ha permitido a los fabricantes transformarse en fábricas inteligentes, puede ser su talón de Aquiles. Por ejemplo, un competidor o un empleado altamente calificado puede escanear fácilmente su red para encontrar el siguiente punto débil y arreglárselas con sus nuevos códigos fuente de productos.
Dado el tipo de información valiosa robada, es probable que la compañía tenga que pagar un enorme rescate y luego quedarse callada o sufrir daños considerables cuando la noticia salga en los titulares. El hecho de que pocos fabricantes divulguen estos incidentes públicamente es motivo de alarma, ya que los piratas informáticos que son oportunistas seguirán empleando tácticas ya probadas dirigidas a estas industrias. Solo en China, hasta el año 2016, la CNVD (China National Vulnerability Database) ha documentado 10,336 lagunas con sistemas de control industrial. Las encuestas de la industria también revelan que hasta 40% de los fabricantes no cuentan con una política de seguridad formal, mientras que 60% de los entrevistados confesaba no contar con el personal adecuado dedicado a la supervisión de la seguridad.
Caso de amenaza 3: no confíes en nadie, cuando se pueden abusar de las credenciales de tus usuarios
Una y otra vez, escuchamos historias donde los hackers se infiltraron en la red de una compañía para robar bases de datos de clientes, libros de precios o simplemente interceptar una orden de venta incluso para que los clientes realizaran transferencias electrónicas no autorizadas al aprovechar las credenciales legítimas de un empleado. Los ejemplos incluyen ataques de hombre en el medio en los que el atacante escucha a escondidas las conexiones entre las víctimas y luego suplanta a cualquiera de las partes mediante la inyección de nuevas comunicaciones. Lo que es más alarmante es el hecho de que 30% de estas infracciones permanecen sin ser detectadas, mientras que el número promedio de días necesarios para detectar un ataque cibernético ha aumentado a 206 días en Estados Unidos y en algunos casos en Asia, un alarmante ¡1.6 años!.
La razón por la que es menos probable que se detecten infracciones por abuso de credenciales radica en cómo se están diseñando estos ataques. Contrariamente a los tipos de ataques de "fuerza bruta" que generan múltiples intentos de acceso a las mismas cuentas, los ataques de abuso de credenciales aprovechan nombres de usuario y contraseñas que se han filtrado y, por lo tanto, solo intentaron un único intento de inicio de sesión con una cuenta. Para empeorar las cosas, los usuarios de todos los días tienden a usar las mismas credenciales de inicio de sesión en diferentes sitios y dispositivos, incluidas las aplicaciones de la empresa y los sitios de redes sociales.
Con los ataques de abuso de credenciales en aumento y los atacantes motivados por ganancias financieras, los fabricantes ya no deben limitarse a soluciones de seguridad locales o realizar controles de seguridad básicos, sino que deben buscar un enfoque de seguridad multicapa que esté cazando activamente y bloqueando cualquier amenaza potencial.
Caso de amenaza 4: espionaje desde adentro, no sólo desde afuera
¿Qué estamos encontrando estos días? ¿Sabe que los empleados internos pueden ser los hackers número dos? Ya sea que los empleados intencionales o involuntarios, incluidos los exempleados descontentos, puedan ser la fuente de incidentes de seguridad (26%). Mientras que los piratas informáticos profesionales y los competidores (43%) encabezan la lista habitual de sospechosos, el otro tipo de atacantes menos sospechosos son en realidad usuarios terceros como socios en el ecosistema de la cadena de suministro (19%).
Si es así, ¿por qué está sucediendo esto? En primer lugar, más de la mitad de los trabajadores admitió haber usado la computadora portátil de la empresa para dedicarse a actividades personales, ya sea en línea, descargando una película o conduciendo servicios de banca por Internet. Poco saben que los hackers pueden estar mirando a sus espaldas e inyectando códigos maliciosos a la red de su compañía a lo largo del camino. En segundo lugar, la autenticación y el cifrado débiles, el control de acceso remoto y las contraseñas mal manejadas para contratistas y proveedores, abren puertas traseras en el firewall y VPN de la compañía, todo lo cual lleva a pérdidas monetarias acumuladas a millones.
Con los fabricantes pasando a la Nube como parte de su evolución Industry 4.0, las empresas deberían considerar un enfoque estructurado para la seguridad. Administración robusta de acceso, proteja sus datos, obtenga visibilidad para todos los dispositivos y usuarios, y evalúe activamente su exposición al riesgo en todo momento. Más importante aún, ¡evita los tiroteos!
No es si, sino cuándo.
Para los fabricantes que están buscando dar el primer paso hacia el desarrollo de una estrategia de seguridad proactiva, aquí hay una lista rápida de preguntas para ayudarlo a comenzar en la dirección correcta:
¿Cuándo fue la última vez que realizó una evaluación de seguridad formal y una evaluación de su red?
¿Cómo y dónde está su manejo, almacenamiento y distribución de su propiedad intelectual y datos de I + D?
¿Cómo maneja el control de acceso y las contraseñas para sus contratistas, trabajadores remotos y proveedores en el ecosistema?
Recuerde, una empresa de manufactura no es diferente de cualquier otra industria cuando se convierte en el objetivo para el próximo ataque de ciberseguridad.
Por último, no es si, sino cuándo.
(*) Anna Chan: Director, Media Industry Strategy at Akamai