5 puntos débiles de la ciberseguridad contra los que deben protegerse los propietarios de infraestructuras críticas
La infraestructura de un país es un objetivo atractivo porque es fundamental para la vida cotidiana. Las infraestructuras críticas, como la distribución de electricidad, las telecomunicaciones y los oleoductos, suelen sufrir ataques de todo tipo, desde agentes estatales hasta grupos de ransomware en busca de grandes beneficios.
Pero hay otra razón por la que las infraestructuras críticas resultan atractivas para los actores de amenazas: la naturaleza del hardware y el software que soportan las infraestructuras críticas significa que éstas a menudo presentan puntos débiles únicos que los hackers pueden atacar.
En este artículo, trataremos cinco tipos de vulnerabilidades de infraestructuras críticas a las que los operadores de infraestructuras deben prestar atención.
1. Vulnerabilidades de software y hardware
En las infraestructuras críticas, es frecuente que las organizaciones utilicen software y hardware heredados. Por ejemplo, sistemas de tecnología operativa (OT) antiguos con funciones insuficientes de autenticación de usuarios y sistemas, verificación de la autenticidad de los datos o comprobación de la integridad de los datos, que pueden permitir a los atacantes un acceso incontrolado.
Se deriva del hecho de que las OT se mantienen durante décadas. A veces, las funciones críticas pueden funcionar con hardware y software de los años 90 simplemente porque es demasiado caro o difícil migrar a una solución más moderna.
Esto también significa que el software de OT suele estar plagado de vulnerabilidades sin parches. Los parches pueden no estar disponibles, y para algunos OT es difícil instalar parches debido a la naturaleza aislada de esta tecnología (a menos que se utilice live patching). Como resultado, los atacantes aprovechan las vulnerabilidades de los componentes de hardware para acceder a los sistemas de infraestructuras críticas.
2. Autenticación y control de acceso
Las infraestructuras críticas también suelen adolecer de un control de acceso deficiente dentro de los mecanismos de autenticación, incluida la dependencia de configuraciones predeterminadas, contraseñas débiles, falta de cifrado, controles de acceso insuficientes y falta de autenticación multifactor. Una vez más, esto se debe en parte al hecho de que gran parte de la OT utilizada en infraestructuras críticas se basa en hardware y software heredados.
Podría ser algo tan sencillo como la falta de cifrado, ya que los controladores SCADA y los protocolos industriales heredados carecen de la capacidad de cifrar la comunicación. Como resultado, los atacantes pueden utilizar un simple software de sniffing para descubrir nombres de usuario y contraseñas.
También preocupan las conexiones de terceros: los proveedores externos pueden necesitar acceso a sistemas de infraestructuras críticas, pero si no se protegen estas conexiones, los atacantes pueden acceder al sistema.
Las cadenas de suministro de software también pueden entrañar riesgos, ya que los componentes y el software utilizados en infraestructuras críticas a veces proceden de terceros proveedores especializados que no disponen de controles de seguridad sólidos.
3. Debilidades humanas
Al igual que ocurre con la ciberseguridad en cualquier otra organización, las debilidades humanas son explotadas por los actores de las amenazas que tienen como objetivo las infraestructuras críticas. Pensemos en los ataques de ingeniería social, las amenazas internas, la falta de formación en materia de concienciación sobre seguridad y la planificación inadecuada de la respuesta.
Los atacantes pueden utilizar tácticas de ingeniería social para engañar a los empleados y conseguir que revelen información sensible o faciliten el acceso a sistemas críticos. Pero eso no significa que la amenaza proceda del exterior: los empleados malintencionados pueden utilizar su acceso a los sistemas de infraestructuras críticas para llevar a cabo ataques o filtrar información sensible.
En parte se debe a la falta de formación en materia de seguridad, ya que los empleados no son conscientes de los riesgos de los ciberataques, lo que pone en peligro los sistemas de infraestructuras críticas.
4. Vigilancia limitada o nula de los ataques
La falta de supervisión y registro es un riesgo importante, ya que si no se supervisa y registra la actividad del sistema, los proveedores de infraestructuras no detectarán los ataques y, en caso de que se produzcan, no podrán responder a ellos. Lo mismo cabe decir de la falta de visibilidad de la red: una arquitectura de red deficiente puede dificultar la aplicación de controles de seguridad eficaces y la supervisión de la actividad del sistema.
La falta de vigilancia puede deberse en parte a la escasez de recursos de ciberseguridad, pero también podría deberse a que los operadores de infraestructuras confían demasiado en sus medidas de protección. En algunos casos, dada la naturaleza de la tecnología heredada utilizada en las infraestructuras críticas, podría reducirse a una cuestión de complejidad.
5. Planificación deficiente de la respuesta a incidentes
Un plan de respuesta a incidentes es un componente esencial de la estrategia de ciberseguridad de una organización, ya que proporciona un enfoque estructurado y coordinado para detectar, contener y responder a los incidentes de seguridad.
Pero con una planificación de respuesta escasa o nula, los operadores de infraestructuras tendrán dificultades para cauterizar un ataque en curso. Por el contrario, un plan de respuesta a incidentes bien diseñado puede ayudar a las organizaciones a responder a los incidentes de seguridad con rapidez y eficacia, minimizando el impacto en las operaciones y reduciendo el riesgo de daños mayores.
Así pues, los proveedores de infraestructuras críticas deben centrarse en un plan de respuesta que ayude a detectar un ataque en curso, a proteger la información confidencial y, de hecho, a limitar el acceso a elementos como los sistemas de control industrial (ICS), que pueden utilizarse para causar daños de mayor envergadura a las infraestructuras.
Los parches como defensa básica
Puede haber muchos puntos débiles en la tecnología que soporta las infraestructuras críticas, y las organizaciones necesitan adoptar una postura de ciberseguridad mejorada para reforzar estos puntos débiles.
Pero, independientemente de dónde se encuentren los puntos débiles, la aplicación de parches sigue siendo una herramienta clave que ayuda a los proveedores de infraestructuras críticas a cerrar las puertas a los actores de amenazas. Si se aplican parches de forma sistemática y periódica, se cierran las vulnerabilidades en las que se basan muchas estrategias de ataque.
En el caso de las infraestructuras críticas, la aplicación de parches en tiempo real puede cambiar las reglas del juego, ya que permite a las organizaciones aplicar parches sin interrumpir las operaciones de infraestructura. Para obtener más información sobre cómo live patching puede funcionar para su organización visite nuestra página sobre infraestructuras críticas aquí.