(In)Seguridad en Sistemas de Control Industrial

Durante décadas, los sistemas de control industrial (ICS) han formado parte del entorno de tecnología operativa (OT). En la mayoría de las empresas del sector industrial, la red OT estuvo apartada de otros sistemas o de Internet. Pero a medida que los sistemas de TI y los entornos de OT aumentan la conectividad entre ellos, los sistemas de control industrial ahora están expuestos a sistemas de TI y a Internet, aumentando de manera importante el riesgo de intrusión por individuos malintencionados.

Los ciberdelitos evolucionan rápido, y como prácticamente todo está conectado en el mundo moderno, el foco se dirige ahora a las grandes infraestructuras tanto públicas (centrales eléctricas, hospitales, aeropuertos), como privadas (fábricas, industrias o incluso oficinas) dándole espacio también al terreno de la ciberguerra.

Vulnerabilidades en sistemas de control industrial

Vulnerabilidad en Fatek Automation PLC CVE- 2017–6023

En los últimos siete años, en los sistemas de control industrial se han encontrado muchos agujeros de seguridad y, durante este período, la cifra de vulnerabilidades en los componentes ICS se ha multiplicado por diez.

En el 2o16 se reportaron 179 vulnerabilidades en productos y sistemas de control industrial — ICS, 36 vulnerabilidades consideradas criticas. En lo que va del 2017 se han registrado 140 vulnerabilidades y 33 de ellas consideradas críticas, es decir, que afectan totalmente la confidencialidad, integridad y disponibilidad del sistema.

Las cifras de vulnerabilidades en componentes ICS va cada vez más en aumento, pasando de 19 vulnerabilidades reportadas en el año 2010, a 179 reportadas en el año 2016.

Antecedentes

En años anteriores hemos visto los resultados de ataques industriales. En diciembre de 2015, la mitad de la ciudad ucraniana Ivano-Frankivsk sufrió un apagón a causa del ataque APT Black Energy. El mismo año, también se detectó un ataque a la compañía Kemuri Water. Los ciberdelincuentes habían penetrado en su red y manipularon los sistemas encargados de añadir los químicos que limpian el agua.

¿Qué podemos hacer?

En general, la seguridad de los sistemas de control industrial deja mucho que desear. Una sola persona puede hacer poco para resolver un problema sistémico: el equipamiento industrial no puede cambiarse en un día, ni siquiera en un año, por toda su complejidad. Es por eso que comunicar y difundir las información sobre los riesgos que existen, siempre es una buena práctica, cuantas más personas estén al tanto de este problema, habrá más oportunidades de que la infraestructura industrial crítica sea parcheada antes de que suceda algo realmente malo.


Charrua Security Conference

El 12 de mayo 2017 estuvimos invitados a dar una ponencia en la conferencia de seguridad CharruaCon en la ciudad de Montevideo — Uruguay. Hablamos sobre (In)seguridad en Sistemas de Control Industrial.

Puedes ver la charla a continuación:

Aquí te dejamos la presentación: