Los incidentes de ciberseguridad fueron abundantes en 2022, lo que les causó muchos problemas a los propietarios y operadores de infraestructura industrial. Sin embargo, afortunadamente, no vimos ningún cambio repentino ni catastrófico en el panorama general de amenazas (ninguno que haya sido difícil de manejar, a pesar de los atractivos titulares en los medios).
Creemos que el año próximo será mucho más complicado. Es posible que muchas personas se sorprendan con giros y obstáculos inesperados, a pesar de que deberíamos estar analizando estas eventualidades en la actualidad. A continuación, compartimos algunos de nuestros pensamientos sobre los desarrollos potenciales de 2023, si bien no podemos asegurar que estamos proporcionando una imagen completa ni un alto grado de precisión.
A medida que analizamos los eventos de 2022, debemos profesar que ingresamos en una era en la que las tendencias geopolíticas y los factores macroeconómicos relacionados determinan mayormente los cambios más significativos en el panorama de amenazas para empresas industriales e infraestructuras de tecnología operativa (OT).
Naturalmente, los criminales cibernéticos son cosmopolitas. Sin embargo, no prestan mucha atención a las tendencias políticas y económicas porque persiguen beneficios fáciles y su seguridad personal.
La actividad de amenazas avanzadas persistentes (APT), tradicionalmente atribuida a las agencias de inteligencia de diferentes gobiernos, siempre ocurre en línea con desarrollos en política extranjera y los arcos cambiantes dentro de los países y los bloques intergubernamentales.
Desarrollos en el mundo de ATP
Los cambios políticos internos y externos causarán nuevas direcciones para la actividad de ATP.
Cambios en la geografía de ataque
La geografía de ataque cambiará inevitablemente por las transformaciones de las alianzas tácticas y estratégicas existentes y la aparición de otras nuevas. A medida que las alianzas cambian, observamos que aparecen tensiones de ciberseguridad entre países en los que nunca habían existido. Los aliados de ayer se convierten en los objetivos de hoy.
Cambios en el foco de la industria
Veremos que la actividad de ATP cambiará el foco sobre industrias específicas muy pronto, ya que las realidades geopolíticas en evolución están muy entrelazadas con los cambios económicos. Por lo tanto, pronto veremos ataques dirigidos a los siguientes sectores que representan la economía real:
- agricultura, fabricación de fertilizantes, maquinaria agrícola y productos alimenticios, todos como resultado de crisis alimentarias venideras y mercados alimentarios cambiantes;
- logística y transporte (incluido el transporte de recursos energéticos), debido a los cambios que se están dando en las cadenas logísticas globales;
- el sector energético, la minería y el procesamiento de recursos minerales, la metalúrgica ferrosa y no ferrosa, la industria química, la construcción de barcos, la fabricación de instrumentos y máquinas herramienta, ya que la disponibilidad de los productos y tecnologías de estas empresas es parte de la base de la seguridad económica tanto de países individuales como de alianzas políticas;
- el sector de energía alternativa, específicamente cuando está en la agenda geopolítica;
- productores de alta tecnología, productos farmacéuticos y equipamiento médico, debido a que estos son fundamentales para asegurar la independencia tecnológica.
Continúan los ataques a los objetivos tradicionales
Naturalmente, aún veremos ataques de ATP a objetivos tradicionales, en que el foco principal de los ataques de ATP definitivamente incluye lo siguiente:
- empresas en el complejo industrial-militar, en las que los causantes principales para los atacantes son las tensiones geopolíticas, las confrontaciones que escalan a estado de alerta roja, junto con las posibilidades crecientes de confrontaciones militares;
- el sector del gobierno (esperamos que los ataques se centren en la recopilación de información sobre iniciativas del gobierno y proyectos relacionados con el crecimiento de sectores industriales de la economía);
- infraestructura crítica (ataques que pretenden lograr un punto de apoyo para uso futuro, y a veces, por ejemplo, cuando los conflictos entre países específicos están en la fase “caliente”, el objetivo puede ser incluso infligir daño inmediato y directo).
Otros cambios en el panorama de las amenazas
Otros cambios importantes en el panorama de las amenazas que ya observamos y creemos que contribuirán cada vez más a la imagen completa incluyen los siguientes:
- Un número en aumento de “hacktivistas” que “trabajan” en las agendas políticas internas y externas. Estos ataques acumularán más resultados: la cantidad comenzará a transformarse en calidad.
- Un riesgo en aumento de empleados voluntarios con motivaciones ideológicas y políticas, así como empleados que trabajan con grupos criminales (principalmente, ransomware) y de APT (tanto en empresas como entre desarrolladores y vendedores de tecnología).
- Aumentará la probabilidad de ataques de ransomware a infraestructura crítica: con el auspicio de países hostiles o en países que no pueden responder de manera efectiva a ataques mediante el ataque a la infraestructura del adversario ni llevar a cabo una investigación hecha y derecha que logre un caso de corte.
- Debido a las comunicaciones deterioradas entre las agencias de cumplimiento de la ley de diferentes países y a la interrupción de la cooperación internacional en ciberseguridad, los criminales cibernéticos tendrán las manos libres para atacar sin reservas a los objetivos en países “hostiles”. Esto se aplica a todos los tipos de ciberamenazas y es un peligro para las empresas en todos los sectores y para todos los tipos de infraestructura de OT.
- Aumentarán las campañas de captura de credenciales de los criminales en respuesta a la demanda creciente de acceso inicial a los sistemas de las empresas.
Factores de riesgo debido a las bajadas y subidas geopolíticas
La situación actual obliga a las organizaciones industriales a tomar una decisión extremadamente complicada: qué productos y de qué vendedores deberían utilizar y por qué.
Por un lado, vemos relaciones de confianza fallidas en las cadenas de suministro tanto de productos como de servicios (incluidos fabricantes de equipos originales [OEM]), lo que aumenta los riesgos de utilizar muchos de los productos a los que las empresas están acostumbradas:
- se vuelve más difícil desplegar actualizaciones de seguridad cuando los vendedores dejan de apoyar los productos o dejan el mercado.
- Esto se aplica de igual manera a la calidad deteriorada de las soluciones de seguridad cuando cesan las actualizaciones regulares porque los vendedores dejan el mercado.
- No podemos descartar por completo la posibilidad de que se aplique presión política para armar productos, tecnologías y servicios de algunos participantes menores del mercado. Sin embargo, cuando se trata de líderes del mercado global y vendedores respetados, creemos que esto es muy poco probable.
Por otro lado, buscar soluciones alternativas puede ser extremadamente complicado. Es probable que los productos de vendedores locales (cuya cultura de desarrollo de seguridad, como hemos descubierto, suele ser significativamente inferior a la de los líderes globales) tengan errores de seguridad y vulnerabilidades de día cero “tontos”, lo que los convierte en presa fácil tanto para los criminales cibernéticos como para los “hacktivistas”.
Las organizaciones ubicadas en países donde la situación política no requiere considerar los problemas antes mencionados, deberían también tener en cuenta los factores de riesgo que afectan a todos:
-
La calidad de la detección de amenazas disminuye a medida que los desarrolladores de servicios de información (IS) pierden algunos mercados, lo que causa la pérdida esperada de algunos de sus expertos en IS calificados. Este es un factor de riesgo real para todos los vendedores de seguridad que reciben presión política.
-
Los cortes en la comunicación entre los desarrolladores de IS y los investigadores ubicados en lados opuestos de la nueva “cortina de hierro” o incluso en el mismo lado (debido a la creciente competencia en mercados locales), disminuirá, sin dudas, los índices de detección de soluciones de seguridad que se están desarrollando actualmente.
-
Disminución de la calidad de la integración de telefonía informática (CTI): atribución sin fundamentos de ciberamenazas motivadas por política, amenazas exageradas, bajo criterio de validez de declaraciones debido a la presión política y en un intento de utilizar la narrativa política del gobierno para ganar beneficios adicionales.
-
Los intentos del gobierno para consolidar la información sobre incidentes, amenazas y vulnerabilidades y para limitar el acceso a esta información le restan valor al conocimiento general debido a que la información, a veces, puede mantenerse en secreto sin buenas razones.
Y, al mismo tiempo, esto causa un riesgo aumentado de filtraciones de datos confidenciales (ejemplo: se publicó, por error, una prueba de concepto [PoC] de una ejecución de código remoto [RCE] en una base de datos de vulnerabilidad nacional). Este problema podría tratarse al construir un área de ciberseguridad amplia en el sector público para asegurar que siempre se pueda garantizar el tratamiento responsable de la información de ciberseguridad sensible y la divulgación de vulnerabilidad coordinada eficaz.
-
Otros riesgos de IS debido a la creciente participación de los gobiernos en las operaciones de empresas industriales, incluidas las conexiones a las nubes y servicios de los gobiernos, que pueden estar menos protegidas que algunas de las mejores privadas.
Otros factores de riesgo técnicos y tecnológicos
-
Digitalización en una carrera hacia una mayor eficacia: el internet industrial de las cosas (IIoT) y SmartXXX (incluidos los sistemas de mantenimiento predictivo y la tecnología de gemelos digitales) causan superficies de ataque significativamente aumentadas. Las estadísticas de ataques a sistemas de gestión de mantenimiento asistido por computadora (CMMS) lo confirman.
Los 10 países principales clasificados según el porcentaje de CMMS atacadas en la primera mitad del 2022:
Es importante que, en este ranking de 10 según el porcentaje de CMMS atacadas en la primera mitad del 2022, vemos a los países tradicionalmente “seguros”, que no se ven en los rankings realizados según el porcentaje de computadoras de OT atacadas en el país o por sector.
-
El aumento en los precios del transporte de energía y los aumentos resultantes en los precios de hardware, por un lado, forzarán a muchas empresas a abandonar los planes de desplegar infraestructura local a favor de servicios en la nube de vendedores terceros (lo que aumenta los riesgos de IS). Además, esto impactará de manera negativa en los presupuestos designados para seguridad de IT/OT.
-
El despliegue de diversos vehículos y unidades sin tripulación humana (camiones, drones, equipamiento agrícola y otros), que pueden utilizarse como objetivos o como herramientas de ataque.
Técnicas y tácticas más notorias en futuros ataques
No caigamos en ninguna suposición fantástica sobre tácticas y técnicas utilizadas por los atacantes más avanzados, como ATP relacionadas con agencias de inteligencia en los países líderes, ya que luego nos pueden sorprender giros y obstáculos inesperados. Tampoco debatamos las tácticas y técnicas utilizadas por los numerosos autores de amenazas en el otro lado del espectro (los menos calificados), ya que es poco probable que muestren algo interesante o nuevo, y las soluciones de seguridad que ya están en la mayoría de organizaciones pueden bloquear sus ataques de manera eficaz.
En su lugar, concentrémonos en el medio del espectro: las técnicas y tácticas utilizadas por los grupos de ATP más activos, cuya actividad se suele considerar en línea con los intereses de los países en Medio Oriente y Extremo Oriente, y las utilizadas por criminales cibernéticos más avanzados, como pandillas de ransomware.
Según nuestra experiencia en investigar estos ataques y los incidentes relacionados, creemos que los especialistas en ciberseguridad de sistemas de control industrial (ICS) deben concentrarse en las siguientes tácticas y técnicas:
-
Páginas y secuencias de comando de phishing integradas en sitios legítimos.
-
El uso de paquetes de distribución “crackeados” por Troyanos, “parches” y generadores de claves para software usado normalmente y especialista (el aumento en los costos de licencias y la partida de vendedores de determinados mercados debido a la presión política estimulará esto).
-
Correos electrónicos de phishing sobre eventos actuales con sujetos especialmente dramáticos, incluidos eventos cuyos motivos son políticos por naturaleza.
-
Utilización de documentos robados en ataques anteriores a organizaciones relacionadas o asociadas como anzuelo en correos electrónicos de phishing.
-
La distribución de correos electrónicos de phishing disfrazados de correspondencia laboral legítima a través de buzones de correo comprometidos.
-
Vulnerabilidades de día N (estas se cerrarán aun más lentamente a medida que las actualizaciones de seguridad para algunas soluciones se vuelvan menos accesibles).
-
Explotación de errores de configuración (como no cambiar las contraseñas establecidas por defecto) y vulnerabilidades tontas en productos de “nuevos” vendedores, incluidos vendedores locales. La implementación masiva de tales productos es inevitable, a pesar de las serias dudas sobre la madurez de la seguridad de los desarrolladores.
Por ejemplo, se pueden encontrar recomendaciones como “ingresar la contraseña xyz en el campo de la contraseña” en instrucciones de instalación y manuales de usuario en una cantidad sorprendente de productos de vendedores “locales” pequeños. Además, rara vez se encontrará información sobre vulnerabilidades que provienen de componentes comunes y tecnologías de OEM en las páginas web de tales vendedores.
-
Explotación de fallas de seguridad inherentes en servicios en la nube de proveedores de servicios “locales” y sistemas de información gubernamental (véase más arriba).
-
Explotación de errores de configuración en soluciones de seguridad. Esto incluye la posibilidad de inhabilitar un producto antivirus sin ingresar una contraseña de administrador (un antivirus casi no tiene utilidad si un atacante puede inhabilitarlo fácilmente). Otro ejemplo sería la seguridad débil de los sistemas de gestión centralizada de soluciones de IS. En este caso, no solo es fácil burlar las soluciones de IS, sino que también pueden utilizarse para moverse de manera lateral. Por ejemplo, para llevar malware u obtener acceso a segmentos de red “aislados” y burlar reglas de control de acceso.
-
Utilización de servicios en la nube populares como CnC: incluso después de identificar un ataque, la víctima aún puede ser incapaz de bloquearlo porque algunos procesos de la empresa importantes podrían depender de la nube.
-
Explotación de las vulnerabilidades en software legítimo, por ejemplo, utilización de DLL Hijacking y BYOVD (Bring Your Own Vulnerable Driver) para burlar las soluciones de seguridad de puntos finales.
-
Distribución de malware a través de medios extraíbles para superar espacios de aire, en los casos en los que realmente existen espacios de aire.
Algunas conclusiones
Cuando escribimos sobre futuros problemas potenciales, no pretendimos describir un conjunto completo de amenazas potenciales. Por el contrario, intentamos dar la impresión de un panorama global de desarrollos venideros y alentar a nuestros lectores a evaluar los problemas (incluidos algunos similares que no mencionamos específicamente en este informe) que sean más importantes para su empresa.
Incluimos solo los desarrollos y describimos solo los riesgos que creemos que serán más extendidos y aplican en general a varias organizaciones en varios países. Por lo tanto, la intención fue hacer predicciones menos específicas.
Solo usted puede determinar qué amenazas son importantes para usted. Por supuesto, si necesita ayuda con esta tarea algo complicada, estamos dispuestos a dársela.
Nuestras predicciones son el conjunto de opiniones de nuestro equipo completo según nuestra experiencia colectiva en la investigación de vulnerabilidades y ataques, y la investigación de incidentes, junto con nuestra visión personal sobre los vectores principales que causan cambios en el panorama de las amenazas. Estaremos muy felices si alguna de nuestras predicciones negativas no se cumple en 2023.
Nos alegraría debatir nuestras ideas y recibir sus preguntas en ics-cert@kaspersky.com.
Ciberamenazas de ICS en 2023: qué esperar