La mañana del 19 de marzo de este año comenzó de forma muy extraña para el operador de prensa mecánica Frode Halteigen, en la fábrica de aluminio Magnor, parte del conglomerado industrial Norsk Hydro. Cuando se acercó al panel de control del equipo, la pantalla arrojó un mensaje que le informaba que todo el contenido de su equipo, sistema operativo incluido, había sido encriptado y solo con una llave, en poder de los atacantes, se podrían recuperar los archivos, claro, con un pago de rescate.
Los servidores que controlaban los sistemas de manufactura, y los que resguardaban planos y documentación técnica, quedaron inaccesibles, por lo que la empresa Norsk Hydro tuvo que operar como lo hacía décadas atrás: anotando en papel las estadísticas de producción y consultando gruesos volúmenes de planos e información operativa.
El responsable del ataque fue LockerGoga, una pieza de código malicioso que según un análisis de la empresa de seguridad digital Fortinet, encripta y hace inaccesibles los contenidos de servidores que contienen información clave para la operación de una planta industrial.
A inicios de la década, otra pieza de código, llamada Stuxnet, usó los sistemas SCADA (Supervisión, Control y Adquisición de Datos) para inutilizar las centrifugadoras de uranio empleadas por Irán en su programa nuclear. Desde entonces han incrementado las amenazas digitales contra equipos industriales.
- Te recomendamos Huawei cumple con ciberseguridad y sugiere alianza para mejores prácticas Tecnología
Seguridad en la red
Cada vez estamos más inmersos en la era del Internet de las Cosas (IoT), donde las conexiones de red nos permiten conectar personas, datos, procesos y cosas. Asimismo, el ámbito empresarial ofrece mejores oportunidades y capacidades que generan información de valor.
Especialistas en ciberseguridad como la empresa Seguritech, advierten sobre lo indispensable que es proteger estos datos, así como dispositivos, conexiones, fuentes de almacenamiento de información y software de las empresas u organizaciones, para prevenir algún acto de robo o fuga de información.
De acuerdo con el estudio El riesgo de ciberataques, una realidad palpable, realizado por Lockton, México se ubicó en el tercer lugar de países con más ciberataques, donde destaca también que 7 de cada 10 empresas mexicanas experimentaron un incidente relacionado con seguridad informática.
A medida que la digitalización llega a la industria manufacturera, más equipos son susceptibles de ser inyectados con piezas de código que alteran su funcionamiento, roban los datos o incluso secuestran las operaciones de la compañía, dice Obbe Knoop, directivo en la empresa de seguridad digital para equipos industriales Nozomi Networks.
“Estos equipos tienen una enorme diversidad y muchos de ellos tienen algún grado de digitalización, pero fueron diseñados sin medidas de protección para evitar que alguien inserte código externo o borre el que ya está presente”, agrega Knoop.
Por esta razón, es necesario incentivar a las empresas para que inviertan en seguridad digital, con el objetivo de que afronten con éxito los retos en ciberseguridad. Tan solo en lo que va de este año, el ataque de malware creció 35%, colocando a México como el tercer país de Latinoamérica con mayor crecimiento en ciberataques, revela el estudio de Lockton.
Otro problema radica en que, a diferencia de las computadoras de escritorio y otros dispositivos de electrónica de consumo, muchos equipos industriales carecen de pantallas o indicadores que avisen sobre conductas anormales. Además, muchos equipos utilizan versiones obsoletas de sistemas operativos que ya no reciben actualizaciones de seguridad, y por si fuera poco, muchos emplean protocolos de comunicación carentes de encriptación o sistemas de autenticación comunes en los protocolos más modernos, explica Knoop.
Como resultado, los ataques a equipos industriales pueden pasar inadvertidos hasta que sus efectos alteran la operación de la planta. El incidente de Stuxnet solo se hizo visible meses después de la infección inicial, cuando numerosas centrífugas iraníes en la instalación nuclear de Natanz comenzaron a fallar de manera simultánea.
No es tan difícil
Podría pensarse que por lo complejo de estos ataques, que involucran el diseño de múltiples piezas de código, las cuales realizan funciones como la infección y la conexión con servidores para el envío de instrucciones, solo empresas multinacionales podrían ser atacadas por esta vía. Sin embargo, los ataques a los equipos industriales están cambiando rápidamente, disminuyendo barreras de entrada para los atacantes.
- Te recomendamos Virus en WhatsApp de Android permite a hackers controlar tu celular Apps
“En los últimos años se han extendido nuevas generaciones de amenazas que no requieren grandes habilidades técnicas, por lo que más personas pueden usar herramientas prefabricadas para alterar e incluso secuestrar operaciones de planta de manufactura”, dice Alastair Orchard, vicepresidente para Siemens Digital Industries Software.
Es aquí donde entran nuevas variedades de código maligno, como el llamado ransomware, que secuestra el contenido dentro de servidores, computadoras y otros dispositivos, y que muchas veces está construido con piezas de código ya existentes. Esta es la familia a la que pertenece LockerGoga y representa una amenaza virtual cada vez mayor, al punto de que la Cybersecurity and Infrastructure Security Agency (CISA) de Estados Unidos (EU) reconoció que está creciendo rápidamente debido a la facilidad con la que puede usarse contra empresas e incluso personas.
Las medidas que ayudan
En México, las industrias automotriz, aeroespacial y electrónica, enfocadas en el mercado de la exportación y sujetas a regulaciones en mercados como la Unión Europea y EU, ya están tomando medidas para la protección de sus sistemas de seguridad digital industrial. Sin embargo, “las empresas más pequeñas podrían tener problemas para proteger sus líneas de producción”, dice Ricardo Zermeño, CEO en México de Select, empresa analista de tecnologías.
Ante estas problemáticas, especialistas de Seguritech promueven e incorporan soluciones como los NOC/SOC, que son Centros de Operación para el monitoreo de sistemas de información y proveen detección de intrusiones, Firewalls y controles de acceso, entre otros.
“Esta herramienta permite a las empresas públicas o privadas mantenerse protegidas de amenazas y cuidar sus datos, así como los de sus empleados las 24 horas del día”, señala la empresa.
- Te recomendamos Bocinas inteligentes de Google y Amazon dejan que hackers te espíen Gadgets
La protección del equipo industrial de ataques digitales requiere una combinación de prácticas ya establecidas junto con nuevas estrategias. “Migrar algunas operaciones de almacenamiento y procesamiento de datos industriales hacia servicios remotos en la nube puede ser una opción, en tanto que muchos de estos proveedores mantengan prácticas de monitoreo de conductas sospechosas y apliquen estrictas prácticas de seguridad contra intrusos”, menciona Douglas Bellin, gerente de servicios industriales en Amazon Web Services.
Josué Maturano, directivo de Nozomi Networks en Latinoamérica, añade que “otras soluciones incluyen la instalación de sistemas de monitoreo dentro de las redes en el piso de manufactura, para detectar transacciones de datos irregulares”. Esta alternativa evitaría intervenir directamente los equipos y ayudaría a detectar rápidamente potenciales problemas.
Sin embargo, las medidas técnicas no son suficientes si el personal de la empresa no cuenta con entrenamiento para evitar prácticas inseguras y responder en caso de ataque. En el caso de Stuxnet, la infección sucedió porque una persona insertó dentro de una computadora una memoria USB no autorizada. En el caso de Maersk y otros ataques de ransomware, inició al darle click a una liga dentro de un mail que descargó el software malicioso.
Norsk Hydro enfrentó la emergencia realizando acciones previamente establecidas como el uso de respaldos de datos almacenados con anterioridad y la difusión de mensajes y videos a través de sus redes sociales para mantener informados a los empleados sobre la naturaleza de la emergencia. Además, dijeron a los atacantes que no pagarían el rescate demandado.