Los ciberataques para robar datos a empresas no son ciencia ficción
Ante la pasividad de la industria por asegurar sus sistemas cada vez más conectados, el investigador y director de Ciberseguridad en Tecnalia, Óscar Lage, advierte que los riesgos son cada vez mayores Todo paraíso tiene su infierno.
Al ensueño dibujado por los defensores de la sociedad ultraconectada y el internet de las cosas (IoT, por sus siglas en inglés), le corresponde también un reverso menos onírico dominado por el secuestro de sistemas, el robo de datos, la suplantación de identidad y la destrucción de activos.
Una industria conectada es también una industria más amenazada. Y ahora mismo "hay un montón de sistemas que funcionan muy bien porque se han diseñado así, pero en los que nunca se ha tenido en cuenta la ciberseguridad", afirma el director del área de Ciberseguridad en el centro de investigación Tecnalia, Óscar Lage. Por eso, su trabajo consiste en cerrar brechas y minimizar los riesgos empresariales mediante tecnologías como criptografía, las cadenas de bloques y la inteligencia artificial.
El pasado mes de mayo, el ataque WannaCry ocupó todos los titulares al bloquear no sólo empresas, sino también hospitales y fábricas. ¿Estamos ante una nueva época dorada para los ciberataques?
Yo creo que son ciclos. Hace 15 ó 20 años hablábamos de securizar las redes. Pero ahora este campo ya está maduro y trabajamos en otros ámbitos. Mientras que hace 15 años los bancos, gobiernos y defensa eran los más atacados, hoy la mayoría de ataques, casi el 40%, son a la industria manufacturera y energética. Atacar un banco o un gobierno sigue siendo el top, pero ya están tan protegidos que es mucho más complicado, aunque la seguridad total no existe ni va a existir.
El entorno industrial y energético es el que sufre los verdaderos ataques. Un ransomware afecta a todo, pero lo que más llama la atención son hospitales y fábricas. Estamos hablando de sistemas industriales que están pensados para trabajar de forma aislada y que, de repente, se conectan bajo el paradigma de la industria 4.0 de explotar datos y hacer mantenimiento predictivo. Y ahora es cuando empiezan los problemas.
¿Cuáles son los ciberataques más comunes?
En los primeros meses de este año la mayoría de incidentes proceden de redes zombis, ordenadores que están siendo utilizados para atacar. Los ataques más peligrosos son las denegaciones de servicio distribuidas. Pueden paralizar los servicios de un banco, Amazon, o incluso un DNS que resuelve la dirección web de un montón de empresas, como ya pasó el año pasado. Muchos de estos ordenadores y dispositivos IoT están esclavizados a la espera de lanzar un ataque. Es lo que más se produce, aunque obviamente es menos llamativo que un ransomware que bloquea el ordenador.
¿Y en las empresas? ¿Existe alguna particularidad en los ataques que reciben?
En la industria, de forma sigilosa y sin detener el ordenador, lo que se está haciendo es robar información. Nos encontramos con gente que cuando presenta una licitación internacional se encuentra con una empresa, por ejemplo china, que ha comprado los datos y presenta el mismo pliego dos dólares más barato. Esto es imposible si no hay una fuga de información. Cuando lo analizas, resulta que a la empresa le faltan logs [registros del comportamiento de los sistemas y programas], etcétera. No se sabe exactamente qué ha pasado, pero alguien de la competencia ha obtenido esa información. Son contratos de muchos millones y en los que hay gente que paga por obtener esa información mediante ataques dirigidos contra empresas concretas. Y esto está pasando en empresas españolas. No hablamos de ciencia ficción.
¿Quién está detrás de esos ataques? ¿Se puede llegar a saber?
En muchos casos ni se sabe, pero hay redes y grupos de hackers que se dedican a ello. Incluso determinados gobiernos pueden estar detrás, pero ahí hilar el hilo es muy complicado. Se encuentran muestras, pero este tipo de ataques son muy sigilosos y tampoco es fácil saber quién ha sido realmente.
La llamada industria 4.0 y el IoT plantean la conexión total de cualquier elemento. Pero conectar más dispositivos y máquinas implica también más riesgos, ¿no?
Está claro que interconectarlo todo es un nuevo riesgo. Si dispusiéramos de protocolos industriales seguros, autenticados, con comunicaciones confidenciales y cifradas no tendríamos estos problemas. Pero todos estos datos [de la industria] están hechos para estar aislados y de repente los conectamos y los juntamos con cosas como cámaras IP, que hemos comprado a precio y no sabemos muy bien ni cómo funcionan ni qué seguridad tienen. El fabricante puede pensar: "¿Qué problema hay con que vayan a ver dos imágenes de la fábrica?" Pero a partir de la cámara se puede acceder al resto porque está todo en la misma red.
Lo primero es segmentar la red, definir exactamente qué necesidades de conexión tiene cada elemento, y poner medidas de protección a la entrada y salida de cada uno de esos segmentos.
¿Por qué no actúan las empresas desde el principio?
El problema suele ser que el proceso de conectar la empresa muchas veces lo lidera el departamento de IT, que se quiere lavar las manos y dice que forma parte del departamento industrial. Entonces, de repente, le cae toda la responsabilidad a alguien de producción o de operaciones. Al mismo tiempo, pasan por allí un montón de empresas ofreciendo las bondades y beneficios de explotar los datos, sensorizar y demás. Es su cometido, pero muchas veces esas empresas tampoco se preocupan por la seguridad. Dan por hecho que alguien lo hará, pero la realidad es que, en ese momento, ahí en medio, nadie se preocupa.
Falta sensibilidad. Piensa que cada seis meses se incrementa un 19% el número de máquinas conectadas a internet. Ya no es que estén protegidas o no, es que están conectadas directamente a internet. Es un problema bestial.
Quedaría la opción de los proveedores, que las máquinas sean seguras en origen.
Intentamos hablar con los fabricantes para que su nueva generación de aparatos sea segura e incluya las medidas adecuadas. Pero tampoco llegarían al mercado hasta dentro de cinco años. Aparte, son equipamientos que tienen una vida útil de 20 ó 30 años. Hay que trabajar con los fabricantes, pero también con quienes los implantan, los clientes tienen que concienciarse.
Sin embargo, siempre estaría el riesgo de conectarse desde fuera. Todo apunta a que los sistemas se controlarán cada vez más desde la nube y en remoto.
Lo bueno de una red industrial es que, aunque la gente se conecte desde fuera, suele ser bastante estable y su forma de operar es muy similar y su comportamiento se puede modelizar con inteligencia artificial. Por ejemplo, un patrón muy sencillo que se suele detectar muy rápido: si el cambio de parámetro de una máquina suele producirse dos o tres veces al mes y de repente se realiza tres veces en un mismo día, el algoritmo detecta que algo sucede. Puede que sólo estén revisando la máquina, pero algo pasa. A partir de ahí, el responsable de la infraestructura puede revisar si esto es un problema o no. Y si no lo es, el algoritmo lo aprende y lo etiqueta como "mantenimiento".
Es en lo que trabajamos mientras llegan la ciberseguridad y los equipos ciberseguros a la industria. No vas a proteger los protocolos, pero por lo menos detectar lo que está pasando hasta entonces. Si hablamos de una nueva planta, quizá en seis años ya esté totalmente segura, pero nos quedan muchos años de máquinas e industrias no seguras.
La inteligencia artificial se convierte un poco en vigilante, pero ¿podría ser también una amenaza?
Los atacantes también son cada vez más fuertes y utilizan este tipo de inteligencia artificial para dar el salto. Un ejemplo es el uso de agentes inteligentes que simulan el comportamiento de una red para no levantar sospechas. Son cosas súper complicadas y cada vez más difíciles de detectar.
Source: https://www.technologyreview.es/s/8661/los-ciberataques-para-robar-datos-empresas-espanolas-no-son-ciencia-ficcion