[02/05/2024] La exposición a Internet de la tecnología operativa (OT) y los sistemas de control industrial (ICS) sigue siendo un problema crítico de seguridad de las infraestructuras a pesar de décadas de concienciación, nuevas normativas y avisos gubernamentales periódicos. Forescout dio a conocer Better Safe Than Sorry, un análisis de siete años de datos OT/ICS expuestos a Internet. El estudio fue realizado por Forescout Research - Vedere Labs, un equipo global dedicado a descubrir vulnerabilidades y amenazas a la infraestructura crítica.
En el informe Better Safe Than Sorry, los investigadores de Forescout examinan las oportunidades realistas de un ataque masivo de dispositivos OT/ICS expuestos a Internet. Estos dispositivos son un terreno fértil para el abuso, ya que los atacantes no buscan más allá de utilizar la lógica básica impulsada por los eventos actuales, el comportamiento de los imitadores o las emergencias que se encuentran en las nuevas capacidades listas para usar o en las guías de piratería fácilmente disponibles para crear el caos.
"Si estas advertencias le suenan familiares, es porque lo son. El potencial inminente para un escenario de objetivo masivo es alto", sostuvo Elisa Costante, vicepresidenta de investigación de Forescout Research - Vedere Labs, en el comunicado de prensa. "Forescout hace un llamado a los vendedores, proveedores de servicios y agencias reguladoras para que trabajen colectivamente para prevenir ataques a la infraestructura crítica que no perdonarán a nadie".
Los aspectos más destacados de la investigación en el informe incluyen:
América del Norte está avanzando para cerrar la brecha, pero aún queda trabajo por hacer en todo el mundo. EE. UU. y Canadá redujeron significativamente el número de dispositivos expuestos durante el período de estudio en un 47% en EE. UU. y un 45% en Canadá. Los otros 10 países principales aumentaron el número de dispositivos expuestos:
- España: 82%
- Italia: 58%
- Francia: 26%
- Alemania: 13%
- Rusia: 10%
Se requiere urgentemente una notificación proactiva y específica. Los incidentes de piratería informática de Unitronics y una combinación de alertas regulatorias y cobertura de los medios de comunicación condujeron a una reducción del 48% en los PLC de Unitronics expuestos a Internet en dos meses. "En particular, la disminución de la exposición a los dispositivos Unitronics en Israel comenzó a principios del 2022, coincidiendo con los informes iniciales de ataques a estos dispositivos. Por el contrario, en Estados Unidos, el descenso no comenzó hasta finales del 2023, tras los ataques más recientes”, comentó el ejecutivo.
Es fundamental contar con estrategias sólidas de gestión de riesgos. Muchos dispositivos y protocolos de OT expuestos a Internet se derivan de prácticas comunes de integradores de sistemas, como la entrega de unidades preempaquetadas que actúan como cajas negras a los propietarios de activos y exponen inadvertidamente múltiples sistemas a Internet. "La mayoría de los propietarios de activos no son conscientes de que estas unidades empaquetadas contienen dispositivos OT expuestos. Esto subraya la necesidad de una lista de materiales de software y hardware precisa y detallada como parte fundamental de un enfoque integral de gestión de riesgos”, aseguró Costante.
Casi la mitad de los puertos reportados siguen siendo vulnerables a los ataques. Después de los incidentes dirigidos a los PLC Modicon y Wago, los investigadores de Forescout volvieron a examinar estos dispositivos expuestos un año después de informar algunos a la CISA. "Aproximadamente la mitad de los PLC notificados conservaron los mismos puertos abiertos sin ninguna alteración o medida de protección. El 30% ya no estaba expuesto a Internet, mientras que el 20% restante permanecía expuesto, pero había cerrado el puerto OT bajo escrutinio. Aun así, algunas interfaces web y FTP se dejaron vulnerables en ocasiones”, sostuvo el ejecutivo.
Costante anotó que hay buenas noticias, ahora hay menos de mil dispositivos expuestos que ejecutan Nucleus y aproximadamente 5.500 que ejecutan NicheStack. "Esta es una reducción significativa después de que la exposición fuera revelada en la investigación original de Forescout en el Proyecto Memoria”.
El ejecutivo finalizó comentado que muchos propietarios de activos no son conscientes de que los sistemas OT/ICS contienen dispositivos potencialmente vulnerables expuestos a Internet, lo que pone de manifiesto una vez más la necesidad de una lista de materiales de software y hardware precisa y granular como parte de una estrategia integral de gestión de riesgos.
Franca Cavassa, CTOPerú