Proteger la tecnología operacional en las infraestructuras críticas es crucial

Los ciberataques contra infraestructuras críticas son una de las amenazas más graves ante las que se enfrenta el mundo en los últimos años. Una muestra de ello son los datos recogidos por el Instituto Nacional de Ciberseguridad (INCIBE), quien señala en su último informe sobre ciberseguridad industrial en 2019 en España que ese año se recibieron un total de 207 avisos por vulnerabilidades relacionadas con los distintos sectores estratégicos definidos por la Ley de Protección de Infraestructuras Críticas (Ley 8/2011), entre los que se encuentran el energético, el agua, la administración, la salud o el transporte, siendo el primero el más afectado.

El Instituto Ponemon indica en su estudio Cybersecurity in Operational Technology que la mitad de las organizaciones ha recibido, al menos, un ciberataque a su tecnología operacional que le ha ocasionado tiempo de inactividad. En vista de este panorama, no solo es suficiente con incluir protección en los equipos y sistemas de IT, sino que la estrategia ha de tener en cuenta todos los recursos, incluyendo la tecnología operacional.

“A pesar de que parece que las organizaciones se dirigen hacia una convergencia entre las tecnologías de la información (TI) y de la operación (OT), en los últimos tiempos hemos visto cómo se registraban más incidentes de ciberseguridad que afectan directa o indirectamente a los sistemas de control industrial, como es el caso de Wannacry, Triton o BlackEnergy. Esto quiere decir que la ciberseguridad OT debe ser un punto importante en todas las estrategias de protección que lleven a cabo las organizaciones”, explica José Antonio Afonso, responsable del segmento Commercial Building en Eaton Iberia.

La energía, en el punto de mira

En la actualidad, casi todos los edificios y por lo tanto casi todos los negocios – requieren energía constante, segura y en la que se pueda confiar (que no haya apagones, cortes, etc.). Si nos centramos en las infraestructuras críticas, aquí una pérdida de energía no es solo un inconveniente, sino una amenaza activa para la reputación, los ingresos e incluso la vida humana. Espacios como hospitales, centros de datos, utilities, e instituciones financieras deben poder garantizar que no se interrumpa el suministro de energía bajo ninguna circunstancia.

Esta energía se utiliza para alimentar todo tipo de circuitos en una instalación, desde la calefacción e iluminación hasta servidores y extinción de incendios. Para hacer esto más manejable, todos estos dispositivos se administran a menudo a través de un sistema con cierto grado de capacidad de procesamiento, como un Sistema de Automatización de Edificios (BAS, según siglas en inglés), un Sistema de Gestión de Edificios (BMS), un Sistema de Monitorización de Energía Eléctrica (EPMS), o una plataforma de Gestión de la Infraestructura del Centro de Datos (DCIM).

Todos estos sistemas ayudan a administrar y gestionar centralmente los recursos que demandan las infraestructuras críticas, sin embargo, también constituyen puntos de entrada adicionales que los ciberatacantes pueden utilizar para lograr sus objetivos, incluso cuando los sistemas de IT relevantes están completamente protegidos.

Por ejemplo, un ataque a distancia llevado a cabo de forma exitosa en Ucrania en 2015 dejó sin energía a 230.000 residentes (hogares, empresas, subestaciones energéticas, centros de distribución…). En lugar de intentar penetrar las redes informáticas, los atacantes abrieron interruptores físicos en la red a través de sistemas de acceso remoto, manipularon unidades de suministro de energía ininterrumpida (SAIs) para cortar la energía de la sala de control y lanzaron un ataque de denegación de servicio (DoS) en el sistema telefónico.

Al utilizar tácticas que pueden resultar parecidas a los ciberataques en la infraestructura de IT, pero moviéndose a un punto de entrada diferente y trabajando hacia diferentes targets, los atacantes pueden lograr los mismos objetivos a la hora de obtener un rescate, robar información e interrumpir servicios a través de recursos de tecnología operacional de una empresa que si impactarán a la tecnología de la información.

En este sentido, Eaton, empresa líder en gestión de energía, quiere remarcar la importancia de contar con productos evaluados y certificados con los estándares de ciberseguridad establecidos por la industria para proteger estos entornos. Para Juan Manuel López, responsable del segmento Data Centers en Eaton Iberia, “cuando miramos áreas como la infraestructura crítica, queda claro que la seguridad no debe ser nunca algo secundario al referirnos a la tecnología operacional, por eso en Eaton trabajamos bajo la premisa de que nuestros productos nunca deben ser el eslabón más débil en los protocolos de ciberseguridad de un cliente, haciendo, así, que los entornos de confianza funcionen y garantizando que tenemos la ciberseguridad en mente desde el inicio del desarrollo de nuestro producto”.