Archivo de la etiqueta: IT-OT

Por qué la convergencia IT-OT podría ser un caos para los operadores industriales

La prisa por adoptar la transformación digital está consumiendo todo. Desde la atención médica, a los servicios financieros, no hay ningún CIO en la actualidad que no tenga la tarea de impulsar la innovación y la agilidad empresarial a través de las tecnologías emergentes. Desafortunadamente, para muchas de estas organizaciones, el desagradable efecto secundario de una mayor conectividad es una mayor exposición al ciberriesgo.

De acuerdo con una reciente investigación de Trend Micro, uno de los eslabones más débiles de la cadena de seguridad está en las vulnerabilidades existentes en los controladores de radiofrecuencia (RF) que podrían poner en riesgo el ataque de millones de piezas de equipos industriales en todo el mundo. El resultado: daños financieros y de reputación derivados de la extorsión, el sabotaje y el robo.

Marcha hacia lo digital

Los operadores de maquinaria pesada en los sectores de fabricación, construcción, transporte y otros sectores industriales están invirtiendo cada vez más en conectividad para impulsar el crecimiento. Los sistemas de IoT y Cloud ofrecen la promesa de racionalizar y automatizar los procesos, eliminar los costes y minimizar los errores manuales. Los sensores inteligentes pueden monitorizar los fallos y alertar a los administradores cuando se necesita reemplazar el equipo, lo que reduce el tiempo de inactividad. El equipamiento IoT también puede mejorar la dirección de las grúas móviles, controlar los entornos mineros para detectar emisiones peligrosas, proporcionar planes digitales para una construcción más eficiente, o mejorar la precisión de las grúas portuarias y otros aspectos logísticos. En muchos casos, eliminan por completo la necesidad de los seres humanos, o al menos aseguran que los trabajadores puedan operar maquinaria pesada de forma remota.

Según el Foro Económico Mundial, la transformación digital podría tener un impacto en la industria minera de entre 428.000 y 784.000 millones de dólares entre 2016 y 2025; mientras que se espera que el mercado industrial IoT (IIoT) en su conjunto alcance los 934.000 millones de dólares para 2025.

Sin embargo, a pesar de los beneficios de la adopción del IIoT, el resultado final es que puede crear un riesgo y una complejidad adicionales para los administradores de TI. Añadir conectividad a la tecnología operativa (OT) que se ha creado anteriormente para la seguridad, pero no la seguridad de TI, puede generar desafíos significativos. Los controladores de RF están en el centro del problema: no se basan en tecnologías inalámbricas basadas en estándares, sino en protocolos RF propietarios inseguros que tienen décadas de antigüedad.

La seguridad por defecto sigue reinando en muchos departamentos de TI industriales. El equipamiento a menudo se deja sin parchear, ya sea porque es difícil de aplicar correcciones o porque el equipo es demasiado crítico para las operaciones o costoso para desconectarlo. Los largos ciclos de sustitución de las principales piezas de maquinaria industrial aumentan la exposición al riesgo.

Sin embargo, tal y como se ha descubierto, los controladores RF en estos entornos críticos para la seguridad, son en muchos casos más fáciles de hackear que los que operan en las puertas de garaje.

Plagado de vulnerabilidades

Los investigadores de Trend Micro han analizado la tecnología de siete de los proveedores de controladores de RF más populares y encontraron tres fallos de seguridad básicos: ausencia de código continuo, criptografía débil o nula y falta de protección del software.

Al explotar estas vulnerabilidades, los hackers podrían lanzar ataques de repetición e inyección de comandos para controlar la máquina de forma remota, o abusar de la funcionalidad de «parada de emergencia» (“e-stop”) mediante la repetición de comandos que crearían un efecto DoS. El re-emparejamiento malicioso permitiría a un atacante clonar un control remoto o su funcionalidad para secuestrar uno legítimo. Todos estos ataques podrían lograrse estando dentro del alcance pero fuera del lugar del objetivo, con un dispositivo del tamaño de una moneda. Un quinto tipo de ataque apunta al software de control remoto utilizado por los integradores de sistemas (SI), haciendo que los ataques remotos y persistentes sean viables al “troyanizar” el firmware.

Con estas capacidades en su bolsillo, los atacantes podrían ser contratados para sabotear las operaciones de las empresas rivales, extorsionar a los objetivos con amenazas DoS de e-stop, o incluso permitir el robo físico. Por ejemplo, mediante el control remoto de las grúas de carga en un puerto, los grupos ciberdelincuentes podrían colocar contenedores en sus propios vehículos para transportarlos rápidamente fuera de las instalaciones.

¿Qué será lo próximo?

El impacto de estas amenazas en el balance final, la reputación corporativa e incluso la seguridad física de los empleados podría ser grave. Entonces, ¿cómo se puede avanzar como industria? Comprender la magnitud del desafío es la primera barrera a superar. Con más investigaciones como esta, esperamos que los operadores de IIoT, así como los proveedores, los SI y otras partes interesadas reciban el mensaje.

A continuación, los proveedores deben proporcionar actualizaciones seguras de firmware a los dispositivos existentes, incluyendo código evolutivo para mitigar los ataques de repetición, y mecanismos a prueba de manipulaciones para evitar la ingeniería inversa. En el futuro, deben basarse en protocolos estándar seguros y bien conocidos como Bluetooth Low Energy. Los integradores de sistemas deben desempeñar su papel asegurando que los controladores remotos programables estén separados o reforzados como un endpoint seguro, y también considerar productos de última generación más seguros construidos sobre estándares.

Cuando la seguridad sigue siendo tratada como una idea de última hora, el pronóstico es desalentador. Pero si los operadores industriales empiezan a seguir las mejores prácticas de seguridad por diseño, entonces esperamos que los escenarios descritos en nuestro informe no den el salto de la teoría a la práctica.