Ciberamenazas para las empresas industriales en 2025

Principales factores detrás de las amenazas cibernéticas a nivel mundial

A la caza de las innovaciones

Las innovaciones nos cambian la vida. Hoy en día, el mundo se encuentra a las puertas de otra revolución técnica. El acceso a las nuevas tecnologías es el pasaporte hacia el futuro, una garantía de prosperidad económica y soberanía política. Por ello, muchos países están buscando el camino hacia un nuevo orden tecnológico, invirtiendo en investigación y desarrollo prometedores en diversas áreas: inteligencia artificial y aprendizaje automático, computación cuántica, electrónica óptica, nuevos materiales, nuevas fuentes de energía y nuevos tipos de motores, satélites y telecomunicaciones, genética, biotecnología y medicina.

Desde la perspectiva de la ciberseguridad, el creciente interés en las innovaciones significa que las amenazas persistentes avanzadas (APT) se están enfocando en las instituciones de investigación y las empresas dedicadas a la investigación y el desarrollo de nuevas tecnologías. A medida que aumenta la demanda de conocimientos técnicos, los grupos de cibercriminales de élite, como las principales bandas de ransomware y los hacktivistas, también están a la caza de la información técnica confidencial clave de las principales empresas innovadoras.

Las empresas industriales deben tener en claro que esta información puede ser incluso más fácil de acceder y filtrar desde las mismas plantas de producción que desde el interior de sus laboratorios de investigación y los perímetros de la red de sus oficinas. La cadena de suministro y la red de socios confiables también son objetivos potenciales muy lógicos.

Barreras creadas intencionalmente y guerras de sanciones

La creciente turbulencia geopolítica, las guerras de sanciones y la construcción de nuevas barreras artificiales para acceder a tecnologías eficientes aumentan las violaciones de los derechos de propiedad intelectual de las empresas líderes en tecnología. Esto puede generar los siguientes riesgos de seguridad.

• Los desarrolladores y proveedores de tecnologías operativas (TO) se enfrentan al problema de que los actuales mecanismos integrados en los productos que envían a sus clientes tal vez ya no protejan eficazmente su propiedad intelectual.
• Las brechas y parches de terceros, así como diversas soluciones alternativas a las restricciones de licencias, generan mayores riesgos de ciberseguridad que hace que las ciberamenazas penetren el perímetro de las OT.
• Además de robar documentación relacionada con desarrollos tecnológicos de vanguardia y nuevos productos, los atacantes no cesarán en su afán de hacerse de conocimientos técnicos, recopilando modelos 3D y físicos y diseños CAD y CAM, como vimos en los ataques de Librarian Ghouls.
• Los programas PLC, proyectos SCADA y otros tipos de fuentes de información sobre los procesos tecnológicos exclusivos almacenados en los activos de TO también pueden convertirse en otro objetivo para los ciberdelincuentes.

Las nuevas tecnologías conllevan nuevos riesgos cibernéticos

Al probar algo completamente nuevo, es de esperar que, además de obtener los beneficios prometidos, surjan algunos efectos secundarios inesperados con consecuencias desconocidas. Muchas empresas industriales están a la par de sectores como el financiero o el retail en la adopción de innovaciones informáticas, como la realidad aumentada y la computación cuántica. El mayor aumento en la eficiencia promete provenir, como en muchos otros ámbitos, del uso generalizado de sistemas de aprendizaje automático e inteligencia artificial, incluidos aquellos que se apliquen directamente a la producción, gracias al ajuste y optimización del control de los procesos tecnológicos. El uso de estos sistemas en instalaciones como las de metalurgia no ferrosa, puede incrementar la producción en hasta mil millones de dólares anuales. Una vez que una empresa experimenta tal aumento en su eficiencia, ya no puede negarse a utilizar el sistema en cuestión, pues éste se convierte en un importante activo de producción. Esto puede afectar de varias maneras el panorama de las amenazas industriales.

• El uso incorrecto de tecnologías de IA en los procesos informáticos y operativos de las empresas industriales puede llevar a la exposición involuntaria de información confidencial (por ejemplo, cuando se la introduce en una base de datos de entrenamiento de modelos) y a nuevas amenazas de seguridad, incluidas aquellas que por ahora resultan difíciles de predecir.
• Tanto los sistemas de IA como los datos empresariales únicos que utilizan (ya sea en su forma original de datos de telemetría históricos que se usan como conjunto de datos de entrenamiento o incorporados al modelo de IA en forma de pesos de redes neuronales), una vez que se tornan activos cruciales, pueden convertirse en nuevos objetivos de ciberataques. Por ejemplo, si los sistemas o los datos fueran bloqueados por los ciberpiratas, podría resultar imposible restaurarlos. Además, no siempre los ataques contra estos sistemas introducen riesgos de seguridad para las instalaciones víctimas, lo que significa que no son un objetivo tan riesgoso para que los ciberdelincuentes quieran mantenerse alejados de ellos, como los sistemas tradicionales de OT.
• Los atacantes tampoco ignoran el progreso técnico: su uso de la IA en varias etapas de preparación de sus ataques (para el desarrollo de herramientas maliciosas y para medios de ingeniería social como la generación de texto para correos electrónicos de phishing) reduce sus costos y, por lo tanto, acelera el desarrollo de amenazas cibernéticas. Sin duda, esta tendencia evolucionará en 2025.

Las tecnologías probadas en el tiempo implican nuevos riesgos cibernéticos

Si un sistema no ha sufrido ataques, no significa que esté bien protegido. Quizás no se hayan llevado a cabo todavía, porque los atacantes tenían formas más simples, estudiadas y automatizadas de resolver sus problemas, o quizá fue una cuestión de suerte.

La expresión “si no está roto, no lo arregles” adquiere un significado especial en las infraestructuras de OT y puede significar que un sistema ha estado funcionando durante años o incluso décadas sin ninguna modificación, incluso sin instalar parches de seguridad críticos ni cambiar configuraciones inseguras, como servicios de red innecesarios, interfaces de depuración y contraseñas débiles, a veces desde el mismo momento en que el sistema se puso en funcionamiento.

Las cosas se complican aún más si tenemos en cuenta la mala calidad de la información sobre las vulnerabilidades de los productos de OT proporcionada por los desarrolladores y disponible en fuentes públicas. Por suerte, los actores maliciosos, hasta ahora, rara vez atacan los activos industriales y los sistemas de automatización industrial.

Pero además de los sistemas de automatización industrial desprotegidos, como los PLC y los servidores SCADA, cuya ciberseguridad es muy difícil de mantener, hay muchos tipos de dispositivos e infraestructuras enteras que de alguna manera están conectados a la red tecnológica, cuya seguridad simplemente se subestima o se obvia sin razones objetivas.

• Equipos de telecomunicaciones. Se considera que su seguridad es responsabilidad del operador de telecomunicaciones o que es innecesaria por alguna razón. Por ejemplo, existe la creencia de que las estaciones base móviles y las redes tecnológicas de los operadores móviles ya están suficientemente protegidas contra los ciberataques, y que por eso “nadie las ataca”. De alguna manera, este problema también es bastante menospreciado por los investigadores de seguridad: si bien la seguridad de los puntos finales y sus componentes clave, como los módems, es estudiada de forma amplia y detallada, son poquísimas las publicaciones técnicas sobre los resultados de estudios profundos de la seguridad de las estaciones base o los equipos centrales de la red. Sin embargo, es obvio que los equipos pueden verse afectados, al menos desde el lado del operador, por ejemplo, durante el mantenimiento. Al fin y al cabo, los propios operadores de telecomunicaciones están lejos de ser inaccesibles a los ciberataques, como nos lo demuestra la historia de los ataques de Blackwood utilizando el implante NSPX30. Por lo tanto, es necesario tener presente lo siguiente:
  • Las empresas industriales no pueden, en ningún caso, excluir de su modelo de amenazas los ataques del tipo man in the middle contra los equipos de telecomunicaciones y la infraestructura de los operadores de telecomunicaciones.
  • Dada la velocidad de implementación de todo tipo de sistemas inteligentes de monitoreo y control remoto, no sólo en minería y logística, sino también en otros sectores y en varios tipos de instalaciones, la prioridad de asegurar las infraestructuras relacionadas con las telecomunicaciones irá aumentando con el tiempo. Por ejemplo, para garantizar la seguridad en infraestructuras robotizadas o cuando se utiliza transporte automatizado en una instalación, se recurre a la comunicación inalámbrica. Es obvio que las empresas industriales deben empezar a invertir en la seguridad de las telecomunicaciones para evitar incidentes cibernéticos, quizás ya en 2025.
• Los sensores inteligentes, medidores, dispositivos de medición y control y otros dispositivos del Internet industrial de las cosas tradicionalmente permanecen en la periferia de la atención tanto de las empresas que los utilizan como de los desarrolladores. Sin embargo, como lo demuestra la historia de FrostyGoop, pueden atraer la atención de intrusos y convertirse en blanco de ataques.
• Los puntos de conexión de pequeñas instalaciones de infraestructura industrial remotas suelen utilizar equipos de red de bajo costo, que a veces ni siquiera están diseñados para uso industrial (por ejemplo, dispositivos SOHO). Su ciberseguridad puede ser extremadamente difícil de mantener en buenas condiciones, tanto por las limitaciones arquitectónicas como por la complejidad del mantenimiento centralizado. Al mismo tiempo, se puede usar estos dispositivos no sólo para distribuir malware de uso general o alojar agentes de botnets (como en el caso de Flax Typhoon/Raptor Train), sino también como punto de entrada a la red informática o de TO de una empresa industrial.
• La familia de sistemas operativos Windows por décadas ha sido la plataforma más popular para estaciones de trabajo y servidores de sistemas de automatización. Sin embargo, en los últimos años, muchas empresas industriales, por diversas razones, han estado instalando cada vez más sistemas basados en Linux en sus circuitos de TO. En algunos casos, uno de los últimos argumentos a favor de elegir Linux es la creencia de que dichos sistemas son más resistentes a los ciberataques. Por una parte, es cierto que la variedad de malware que se ejecuta bajo este sistema operativo no es muy grande y la probabilidad de infección accidental es menor que en el caso de utilizar el sistema operativo Windows. Por otra, proteger los sistemas Linux contra un ataque selectivo no será, como mínimo, más fácil y, en algunos casos, incluso puede resultar más difícil. La cuestión es que:
  • Los desarrolladores de soluciones de seguridad para Linux tienen que ponerse al día con soluciones que protejan la infraestructura de Windows, porque durante mucho tiempo muchas funciones no fueron solicitadas por los clientes y, por lo tanto, no se implementaron. Implementar nuevas funcionalidades resulta más costoso, ya que debe ofrecerse soporte para múltiples variantes del sistema operativo desarrolladas en paralelo. Además, los desarrolladores del kernel no priorizan la integración de soluciones de seguridad, lo que genera dos problemas principales: la falta de mecanismos estándar efectivos y el riesgo de que una actualización del kernel “rompa” la compatibilidad, sin que una simple recompilación del módulo sea suficiente para recuperarla.
  • En el ámbito de las empresas industriales, es evidente que faltan especialistas en seguridad de la información que también sean expertos en Linux. Esto puede reducir la eficacia tanto en la configuración segura de dispositivos como en la supervisión y detección de incidentes.
  • Tanto las soluciones de TO para Linux como sus desarrolladores a menudo demuestran una madurez insuficiente en materia de seguridad de la información y pueden ser un blanco fácil para los atacantes, como se reveló, por ejemplo, durante la investigación de una serie de ataques Sandworm contra instalaciones de infraestructura crítica en Ucrania.

Elegir al proveedor equivocado es un gran problema

La inversión insuficiente por parte de los desarrolladores de productos o proveedores de tecnología en su propia seguridad de la información facilita que se produzcan incidentes que afectan a sus clientes. Este problema resulta especialmente relevante para los proveedores de productos y servicios especializados. Un caso ilustrativo es el ataque contra CDK Global, que provocó a sus clientes pérdidas directas totales por más de mil millones de dólares.

La situación de las empresas industriales se complica por una serie de factores, entre los cuales resaltan:

• Cadenas de suministro de tecnología extremadamente largas. Equipos, entre ellos sistemas de automatización para activos clave de producción, que son muy complejos. El parque de equipos industriales de una empresa puede incluir todos los componentes principales de los sistemas informáticos, junto con muchos otros desarrollados en colaboración con diversos fabricantes de tecnologías específicas para la industria. Muchos de éstos pueden ser desarrolladores relativamente pequeños de soluciones de nicho que no disponen de recursos suficientes para garantizar un nivel suficiente de seguridad de la información, ni para sí mismos ni para sus productos. Además, la instalación, la configuración inicial y el mantenimiento regular de los equipos requieren la participación de especialistas externos. Esto da lugar a que la superficie de ataque se extienda a la cadena de suministro y los socios de confianza.
• Casi todas las grandes organizaciones industriales son sus propios proveedores. Las especificidades de la industria, y de una empresa en particular, requieren un reajuste significativo de las soluciones “listas para usar” y el desarrollo de nuevas soluciones de automatización que sean exclusivas de la organización. Por lo general, estos desarrollos se llevan a cabo dentro de la propia organización o se encargan a filiales o empresas relacionadas. Todo esto multiplica casi todos los factores de riesgo que hemos descrito: estos desarrollos rara vez se llevan a cabo con un alto nivel de madurez de seguridad y las soluciones resultantes están plagadas de vulnerabilidades simples que hasta los atacantes menos expertos pueden explotar. Obviamente, estos problemas de seguridad ya son y seguirán siendo explotados en los ciberataques.

La “seguridad por oscuridad” ya no funciona para las infraestructuras de TO

La disponibilidad de una amplia variedad de herramientas para trabajar con equipos industriales (basta con contar la cantidad de bibliotecas y utilidades que implementan protocolos de redes industriales publicadas en GitHub) hace que desarrollar e implementar un ataque dirigido a los principales activos de producción de una empresa industrial sea mucho más fácil que hace apenas unos años. Además, las propias empresas industriales no se quedan de brazos cruzados: en los últimos años han trabajado mucho no sólo en la automatización de la producción, sino también en el inventario y la documentación de sistemas y procesos. Ahora, para lograr un efecto ciberfísico en una instalación industrial, los atacantes ya no necesitan leer libros de texto sobre el diseño de sistemas instrumentados de seguridad ni recurrir a expertos externos. Toda la información necesaria ya está contenida en un cómodo formato electrónico en la oficina y en la red tecnológica de la organización. Se conocen casos en los que los atacantes cuentan a los periodistas en sus entrevistas que estudiaron durante mucho tiempo la documentación de los sistemas de seguridad de las instalaciones antes de elegir los sistemas que atacarían, para eliminar el riesgo de que sus acciones amenacen las vidas de los empleados de las instalaciones y contaminen el medio ambiente.