Predicciones de amenazas para la seguridad industrial en 2018

El panorama en 2017

2017 fue uno de los años más intensos en cuanto a incidentes que afectan la seguridad de la información de los sistemas industriales. Investigadores de seguridad descubrieron e informaron cientos de vulnerabilidades nuevas, alertaron sobre nuevos vectores de amenaza en ICS y procesos tecnológicos, brindaron datos sobre infecciones accidentales de sistemas industriales y detectaron ataques dirigidos (por ejemplo, Shamoon 2.0/StoneDrill). Y, por primera vez desde Stuxnet, descubrieron un paquete de herramientas maliciosas que algunos llamaron “cyber-weapons” (armas cibernética) dirigido a sistemas físicos: CrashOverride/Industroyer.

No obstante, la amenaza más importante para los sistemas industriales en 2017 fue los ataques ransomware de cifrado. Según el informe ICS CERT de Kaspersky Lab, en la primera mitad del año los expertos descubrieron ransomware de cifrado perteneciente a 33 familias diferentes. Se bloquearon numerosos ataques en 63 países de todo el mundo. Los ataques de ransomware destructivos WannaCry y ExPetr parecen haber modificado para siempre la actitud de las empresas industriales hacia el problema de la protección de los sistemas de producción fundamentales.

¿Qué podemos esperar en 2018?

1. Un aumento en las infecciones de malware generales y accidentales. Con unas pocas excepciones, los grupos de ciberdelincuentes no han descubierto aún esquemas simples y confiables para ganar dinero con los ataques en sistemas de información industrial. Las infecciones y los incidentes accidentales en las redes industriales ocasionados por un código malicioso “normal” (general) y dirigidos hacia un blanco de ataques más tradicional como redes corporativas, seguirán en 2018. Al mismo tiempo, es posible que veamos que tales situaciones tienen consecuencias más severas para los entornos industriales. El problema de la necesidad de actualizar el software regularmente en los sistemas industriales a la par de la red corporativa sigue sin tener solución, a pesar de las repetidas advertencias de la comunidad de seguridad.
2. Mayor riesgo de ataques ransomware dirigidos. Los ataques WannaCry y ExPetr les enseñó tanto a los expertos en seguridad como a los ciberdelincuentes que los sistemas de tecnología operativa (TO) son más vulnerables a ataques que los sistemas informáticos y, a menudo, están expuestos a acceso mediante Internet. Además, el daño ocasionado por malware puede superarlo en la red corporativa correspondiente y la “lucha para apagar el incendio” en el caso de la TO es mucho más difícil. Las empresas industriales han demostrado lo ineficiente que puede ser su organización y personal cuando se trata de ataques cibernéticos en su infraestructura de TO. Todos estos factores hacen que los sistemas industriales sean un objetivo deseado para los ataques de ransomware.
3. Más incidentes de ciberespionaje industrial. La creciente amenaza de los ataques de ransomware organizado contra empresas industriales podría disparar el desarrollo de otro área relacionada con el delito cibernético: el robo de datos de sistemas de información que se utilizará posteriormente para la preparación e implementación de ataques dirigidos (incluido ransomware).
4. Nueva actividad del mercado ilegal centrada en los servicios de ataques y herramientas de piratería. En los últimos años, hemos visto una demanda creciente en el mercado negro de los fallos aprovechables de día cero que apuntan a ICS. Esto indica que los delincuentes están desarrollando campañas de ataques selectivos. Creemos que este interés aumentará en 2018, lo que estimulará el crecimiento de los mercados negros y el aspecto de nuevos segmentos que se enfocan en los datos de configuración y credenciales ICS robadas a empresas industriales y, posiblemente, botnets con ofertas de nodos “industriales”. El diseño y la implementación de ataques cibernéticos avanzados que apuntan a objetos físicos y sistemas requiere un conocimiento experto de ICS e industrias relevantes. Se espera que la demanda impulse el crecimiento en áreas tales como “malware-as-a-service’, “attack-vector-design-as-a-service’, “attack-campaign-as-a-service” y más.
5. Nuevos tipos de malware y herramientas maliciosas. Es probable que veamos nuevos programas maliciosos dirigidos a redes y dispositivos industriales, con características como la discreción y capacidad de permanecer inactivos en la red informática para evitar la detección hasta que se conecten a una infraestructura de TO menos segura. Otra posibilidad es la aparición de ransomware dirigido a dispositivos ICS de niveles más bajos y dispositivos físicos (bombas, interruptores de potencia, etc.)
6. Los delincuentes se aprovecharán de los análisis de amenazas de ICS publicados por los proveedores de seguridad. Los investigadores han realizado un buen trabajo al encontrar y publicar diversos vectores de ataque en dispositivos e infraestructuras industriales y analizar sus paquetes de herramientas. No obstante, esto también podría darles nuevas oportunidades a los delincuentes. Por ejemplo, los paquetes de herramientas CrashOverride/Industroyer podrían inspirar a los hacktivistas a ejecutar ataques de negación de servicio a plantas de energía; o es posible que los delincuentes utilicen ransomware para ganar dinero por cortes de electricidad. El concepto de gusano PLC (controlador lógico programable) podría inspirar a los delincuentes a crear gusanos maliciosos en el mundo real; mientras que otros podrían intentar implementar malware con uno de los lenguajes estándares para la programación de PLC. Los delincuentes también podrían recrear el concepto de infectar el PLC mismo. Ambos tipos de malware podrían permanecer inadvertidos por las soluciones de seguridad existentes.
7. Cambios en la regulación nacional. En 2018, será necesaria la implementación de una cantidad de diferentes regulaciones de seguridad cibernética para sistemas industriales. Por ejemplo, quienes estén a cargo de infraestructuras críticas y dispositivos industriales estarán obligados a realizar más evaluaciones de seguridad. Esto aumentará la protección y concientización. Gracias a eso, es probable que se detecten nuevas vulnerabilidades se descubran nuevas amenazas.
8. Mayor disponibilidad e inversión en seguros cibernéticos industriales. El seguro contra riesgos cibernéticos en la industria se está convirtiendo en una parte integral de la gestión de riesgos para las empresas industriales. Antes, el riesgo de un incidente de seguridad cibernética estaba excluido de los contratos de seguros, como el riesgo ante un ataque terrorista. Pero la situación está cambiando con las nuevas iniciativas de seguridad cibernética y las compañías de seguros. En 2018, esto aumentará la cantidad de auditorias/evaluaciones realizadas y respuestas ante incidentes, lo cual aumenta la concientización sobre la seguridad cibernética entre los líderes y operadores de las instalaciones industriales.