La conectividad de las plantas con sus cadenas de suministro es una realidad cada vez más frecuente, que exige procedimientos y protocolos de actuación que eviten ataques e incidentes. Sin embargo, en lo referente a las pymes industriales, todavía queda mucho camino por recorrer.
Teniendo en cuenta que los vectores de los ciberataques están precisamente sujetos a esos cambios relacionados con los avances tecnológicos y que los ciberdelincuentes pueden -y suelen- utilizar varios de estos vectores en cada ataque, estas son las brechas de seguridad más frecuentes en la actualidad, brechas perfectamente aplicables al mundo de la industria:
1.- Correo electrónico y mensajería instantánea: Por ejemplo, los correos y SMS de phishing que suplantan a organizaciones conocidas por el receptor, como bancos, empresas de paquetería, la Agencia Tributaria, proveedores y clientes, o el soporte técnico de la empresa, para engañarle con diversos señuelos a seguir enlaces a páginas web falsas donde le pedirán introducir sus credenciales o descargar adjuntos maliciosos que instalan malware. Es muy frecuente que se trate de ransomware, es decir, el malware que bloquea los datos a cambio de un rescate. En otros casos, el malware convierte a los dispositivos en zombis a su servicio para lanzar ataques a terceros o para otros fines poco éticos.
2.- Navegación web: Navegar por la red puede ser una tarea arriesgada por falta de actualización de los navegadores, por la instalación de plugins maliciosos, o por visitar páginas fraudulentas. Ante navegadores no actualizados, los ciberdelincuentes pueden explotar vulnerabilidades con técnicas como:
- drive-by download, que permite la descarga de malware sólo con visitar una página maliciosa o ver un correo html;
- browser in the browser, que simula una ventana emergente de autenticación, donde nos pedirán las credenciales.
También puede que el usuario llegue en sus búsquedas, o por otros medios, a seguir enlaces que descargan malware o llevar a páginas de phishing. Los ciberdelincuentes suplantan webs legítimas copiándolas y poniéndoles direcciones web similares con homógrafos o enlaces que se parecen a las reales cambiando algún carácter que a la vista no es fácil distinguir.
3.- Endpoints o terminales y otros dispositivos en los que no se han configurado las opciones de seguridad lo que los deja vulnerables. Las configuraciones de los fabricantes por defecto son, en muchos casos, poco seguras. Por ejemplo, si usan contraseñas débiles o si permiten que se conecten USB o discos extraíbles, estos podrían llevar programas malignos. Otras veces son configuraciones incompletas o insuficientes de las redes a las que pertenecen esos dispositivos y permiten el acceso a ellos y su manipulación. Un caso particular son los dispositivos IoT (Internet de las Cosas).
4.- Aplicaciones web, portales corporativos, intranets y redes sociales con configuraciones defectuosas o desactualizadas pueden suponer una vía de entrada o bien una forma de dar información al ciberdelincuente para posteriores ataques. Por ejemplo, si contienen o se muestra demasiada información sobre la estructura de la empresa, direcciones de correo o detalles de sus empleados, eso podría ser utilizado en ataques de spear phishing, el phishing dirigido a una persona específica de la que antes han recopilado información para hacer más creíble el engaño.
Si la empresa posee una página o aplicación web, ha de tener en cuenta la ciberseguridad en su diseño y en su mantenimiento para evitar ataques como los de inyección SQL (intrusión, entre otros. Es vital proteger las credenciales de acceso y los mecanismos de autenticación, tanto para usuarios como para administradores.
Un caso particular es el de las aplicaciones de videollamada y otras herramientas colaborativas, que han de actualizarse y regular su uso para evitar ataques.
El auge de las aplicaciones en la nube fomenta que estas estén siendo utilizadas como vectores de ataques cibernautas. Al contratarlas hay que analizar quién es responsable de mantener actualizados los sistemas, si el proveedor o el cliente. También es preciso revisar qué aplicaciones de este tipo se permiten en la empresa y regular su uso. Por ejemplo, si se utilizan como servicios de backup, obligar a utilizar un buen cifrado.
5.- Software de redes y sistemas mal configurado, desactualizado o no parcheado, es decir, no se han seguido los procedimientos adecuados en su configuración y no se han aplicado las actualizaciones o no existen por estar ya el software fuera de su vida útil. Un ejemplo de uso de esta vía de entrada por los ciberdelincuentes son los ataques contra el router, como DNS hijacking o los tristemente populares ataques de DoS o Denegación de Servicio que bloquean el acceso a los usuarios legítimos.
6.- Credenciales de usuario comprometidas, porque están en fugas de datos y se reutilizan en otros sistemas, o porque han sido obtenidas por fuerza bruta o por ataques de ingeniería social. En otros casos son obtenidas mediante keyloggers, es decir, software o hardware que registra las pulsaciones o mediante software que espía redes wifi abiertas o con configuraciones de cifrado obsoletas.
7.- Contraseñas y credenciales predecibles o por defecto, porque no se han cambiado, las típicas ´admin/admin´ o las que pone el fabricante y se pueden encontrar en la web; o si se han cambiado, se ha hecho por otras de uso común o fácilmente predecibles por el entorno de usuario; o porque están hardcodeadas, es decir, incluidas en la electrónica de los dispositivos.
8.- Insiders o personas con acceso que pueden exfiltrar información. Pueden ser empleados insatisfechos por despecho, sobornados por ciberdelincuentes o exempleados que conservan credenciales de acceso por fallos de procedimiento.
9.- Carencias del cifrado, por su debilidad, al usar claves simples y deducibles o protocolos obsoletos, o por no aplicarse correctamente las políticas al respecto, por ejemplo, en dispositivos móviles o portátiles o por olvido de cifrar documentos en la nube. Este vector puede llevar a fugas de información.
10.- Debilidades de la cadena de suministro, como proveedores tecnológicos o empresas colaboradoras. Si sus sistemas sufren un incidente, los datos pueden verse comprometidos. Por ello es fundamental revisar las cláusulas de seguridad de los Acuerdos de Nivel de Servicio. Un caso particular son los proveedores de servicios en la nube.
Este decálogo de vulnerabilidades es una recopilación de María Elisa Vivancos, técnica del Instituto Nacional de Ciberseguridad (INCIBE), organismo sito en León y adscrito al Ministerio de Asuntos Económicos y Transformación Digital de España a través de la Secretaría de Estado de Digitalización e Inteligencia Artificial.
Pero, ¿qué pueden hacer las empresas industriales ante estos ataques?
“Hay que trabajar por ampliar la cultura de la ciberseguridad y en la evolución de la ciberseguridad en el ámbito de las empresas”, subrayó en una entrevista exclusiva a industry TALKS el consejero de Presidencia, Interior, Diálogo Social y Simplificación Administrativa de la Junta de Andalucía, Antonio Sanz.
Eso conlleva una estrategia muy amplia y dentro de ella se encuadra el Centro de Ciberseguridad de Andalucía que, con una inversión programada de 60 millones de euros, pretende coordinar todas las capacidades que en esta materia tiene el Gobierno andaluz.
“Este Centro, por un lado, va a ejecutar actividades de manera directa; y también va a coordinar las estrategias a niveles externos. La sede va a estar ubicada en el Muelle 2 del Puerto de Málaga. Estamos licitando ya la obra. Este Centro también va a servir como aula de formación, de punto de encuentro de todos los agentes del sector de la ciberseguridad”, afirmó Sanz, quien también ostenta la Presidencia de la Agencia Digital de Andalucía.
¿Y por qué Málaga? “Entre otras cosas, porque va a estar muy cerca del próximo Centro de Ciberseguridad de Google, también de la Universidad, del Parque Tecnológico de Andalucía, donde hay muchas empresas tecnológicas y digitales de máximo nivel. Se ha generado un polo tecnológico y digital entorno a la ciudad de Málaga muy potente en los últimos años. Pretendemos que en los próximos meses ir abriéndolo por fases”, informó el consejero a este diario industrial.
“El centro pretende también convertirse en un agente dinamizador en el sector y la formación va a ser una de las patas estratégicas, con cursos para trabajadores de la propia Junta de Andalucía y para otros colectivos como pymes o jóvenes”, añadió Sanz.
El caso de Andalucía evidencia el enorme interés territorial que despierta este asunto. El País Vasco cuenta con un centro similar, el Basque CyberSecurity Centre (BCSC), desde 2017. Cataluña inauguró el suyo en 2019. Y el gallego verá la luz en 2025.
“Es evidente que, a más avance digital en nuestra sociedad, es cierto que hay mayor riesgo de sufrir este tipo de problemas. Nunca va a existir la seguridad absoluta, pero sí tenemos que formar a las personas y concienciarlas para que todo el que tiene acceso a la red interna de la Junta tenga la suficiente formación sobre esta materia. Y luego que les dotemos de los instrumentos para prevenir y detectar”, remarcó el consejero andaluz.
La falta de concienciación en materia de ciberseguridad es, precisamente, uno de los problemas más graves que enfrenta la pequeña y mediana industria en España.
De hecho, las pymes industriales no tienen, en general, un área encargada de los riesgos, sobre todo porque “este tipo de compañías no cuenta con la estructura necesaria para trazar una estrategia de ciberseguridad corporativa”. Esa es una de las conclusiones extraídas de un estudio elaborado este año por el Centro de Ciberseguridad Industrial (CCI) sobre la pyme como “eslabón débil de la cadena de suministro” en materia de ciberseguridad industrial.
Además, las pequeñas y medianas empresas industriales no tienen, en general, el acceso necesario a los proveedores de ciberseguridad. “El motivo es que estas últimas compañías no dirigen sus soluciones a las pymes debido precisamente a eso: a que se tratan de cuentas muy pequeñas. Por tanto, necesitan un gran número de clientes para conseguir una masa crítica que haga rentable su negocio. Y esto supone un gran esfuerzo a los proveedores”, señala el informe.
La formación representa otra asignatura pendiente. Así, la frecuencia con la que las áreas de Operación y Mantenimiento de las pymes industriales se capacitan en materia de ciberseguridad “es muy baja en general”, apunta el informe. Sobre todo, teniendo en cuenta que un altísimo porcentaje “reconoce que los trabajadores de sus respectivas compañías solo adquieren esta clase de formación cuando se incorporan a la empresa. Es decir, una única vez”.
Para elaborar el documento, el CCI se nutrió de tres fuentes distintas. La primera fue una encuesta respondida de forma online enviada entre enero y febrero a más de 140 pymes industriales españolas. El formulario fue contestado solo por 26 profesionales.
La segunda vía fue una reunión de valoración de los resultados de la encuesta llevada a cabo en febrero en Madrid de forma presencial y online y en la que participaron representantes de distintas asociaciones e instituciones del ámbito industrial y de ciberseguridad como la Asociación Española de Robótica y Automatización (AER Automation), la Federación Empresarial de la Industria Química Española (Feique), la International Society of Automation (ISA Spain), el Basque CyberSecurity Centre (BCSC), el Clúster CyberMadrid, la Asociación de Auditoría, Seguridad y Gobierno de los Sistemas y Tecnologías de la Información (ISACA), el Instituto Nacional de Ciberseguridad (INCIBE), el Centro de Ciberseguridad Industrial (CCI), la Fundación Borredá, la Asociación de Directivos de Seguridad Integral (ADSI), la Oficina de Coordinación de Ciberseguridad (OCC) y Red.es.
La tercera fuente de información se refiere a siete casos prácticos en los que otros tantos expertos relataron la gestión de la cadena de suministro en sus respectivas organizaciones desde el punto de vista de la ciberseguridad Industrial.
Estos siete profesionales fueron Carlos Asún, Global CISO (director de Seguridad de la Información) de Food Delivery Brands; David Andrés Hurtado, responsable de seguridad OT y ciberresiliencia de Naturgy; Belén Pérez, CISO del Grupo Nueva Pescanova; Cristina Isabel Martínez, responsable de Ciberseguridad de Centro de Producción de Stellantis; David González, CISO de Coren; Carlos López, CISO de Estrella Galicia; y Antonio Simón Martínez, coordinador de Seguridad Informática y Ciberseguridad de Metro de Madrid.
“Las estadísticas dicen que, en España, el 99,6% de las empresas son pymes; pero pymes de un tamaño menor a 50 empleados. En ellas, estos trabajadores hacen de todo, y cuando de repente quieres integrar la ciberseguridad en toda la cadena y les empiezas a exigir determinadas cosas, no saben de qué les estás hablando. Y eso, para nosotros, es un riesgo; pero no puedes impedir que trabajen porque el negocio tiene que seguir funcionando. Por tanto, debes equilibrar lo que quieres hacer”, declaró Belén Pérez, del Grupo Nueva Pescanova. “Ya no se trata solo de formar, informar o concienciar. Yo lo llamo evangelizar. Porque al final tienes que ayudarles para que no sean un riesgo que te afecte”, opinó.
“Espero que el nuevo Plan Nacional de Ciberseguridad [aprobado en ayude a que las capacidades y medios, especialmente de las pymes, puedan mejorar. Estamos hablando de 1.000 millones de euros de inversión y 150 iniciativas. Deseo que esto llegue a buen puerto y que todos nos beneficiemos. Sobre todo, esas pequeñas empresas para que mejoren sus sistemas de ciberseguridad y nosotros nos quedemos más tranquilos sabiendo que los terceros han incrementado sus niveles de Ciberseguridad”, enfatizó Carlos Asún, de Food Delivery Brands.
“Estamos intentando concienciar e inculcar que en todos los procesos de compras se empiecen a tener en cuenta estos aspectos; y siempre incidiendo más en la parte industrial, ya que a la de IT la tenemos más controlada. Además, es la parte industrial en la que a veces se realizan algunas adquisiciones o proyectos por fuera”, reconoció David González, de Coren, la principal cooperativa agroalimentaria de España.
Afortunadamente, frente a las amenazas también existen soluciones:
1.- Formación y sensibilización (concienciación) de los empleados en materia de ciberseguridad.
2.- Aplicación de políticas de uso, con restricciones y usos permitidos, y, si fuera necesario, con la aplicación de sanciones.
3.- Establecer acuerdos de confidencialidad y firmar Acuerdos de Nivel de Servicio (ANS) que establezcan las características del servicio, así como las garantías y las medidas de seguridad exigibles al proveedor para proteger la información y asegurar su disponibilidad.
4.- Identificar a los responsables de la seguridad de cada servicio que utilice las TIC, asegurando su formación y competencia.
5.- Analizar los riesgos específicos de la empresa, lo que implica conocer sus activos en las instalaciones propias y en la de los proveedores TI.
6.- Elaborar un inventario de posibles vulnerabilidades. Si es necesario, contratar una auditoría.
7.- Establecer una política de actualizaciones para mantener los activos actualizados y bien configurados.
8.- Proteger las comunicaciones y las redes wifi.
9.- Monitorizar continuamente los accesos a redes y servicios, utilizando herramientas para detectar intrusiones.
10.- Gestionar los permisos de acceso; exigir doble factor de autenticación en los servicios críticos; aplicar procedimientos de cambio de contraseña con frecuencia suficiente.
Verificadas las vías de entrada o vectores de ataque, es preciso identificar y clasificar las amenazas que no son pocas. Estas son algunas: fuga, alteración, corrupción, destrucción e interceptación (escucha) de información, introducción de falsa información, degradación de los soportes de almacenamiento de la información, difusión de software dañino, errores de mantenimiento/actualización de programas (software) y de equipos (hardware), abuso de privilegios de acceso, accesos no autorizados, errores de usuarios, administrador o configuración, denegación de acceso, extorsión, ingeniería social, fallo de servicios de comunicaciones, interrupción de servicios y suministros esenciales, caída del sistema por sobrecarga, robo, incendio, inundación…
Las vulnerabilidades son debilidades de los activos de la empresa (pyme) que van a permitir que las amenazas se conviertan en incidentes más o menos graves. Si existen muchas vulnerabilidades, aumenta el daño potencial de las amenazas sobre los activos. Los activos tecnológicos no están exentos de tener vulnerabilidades; es decir, pueden sufrir fallos por el diseño o en su despliegue o uso. Dependiendo de su responsable, existen tres tipos de vulnerabilidades:
- Diseño (fabricante o desarrollador)
- Despliegue y configuración (software, hardware y comunicaciones)
- Política de uso y procedimientos.
En las vulnerabilidades de diseño, las que vienen con el producto o servicio, corresponde al fabricante o desarrollador sacar el parche, por lo que hay que estar atentos a estas correcciones en los servicios de soporte técnico o alertas de seguridad del fabricante o distribuidor para que, en cuanto salga el parche, pueda ser instalados. INCIBE tiene un servicio de avisos y una iniciativa llamada “Protege tu empresa” enfocada precisamente a micropymes y autónomos.
Las vulnerabilidades que tienen que ver con el despliegue y configuración son aquellas que no ocurrirían o se mitigarían si se siguieran las buenas prácticas; por ejemplo, crear una zona desmilitarizada (DMZ) para aislar servicios que deban ser accesibles desde internet o configurar la seguridad de la wifi. Esas medidas evitan males mayores.
Las vulnerabilidades que tienen que ver con el uso del hardware y el software se mitigan con políticas en las que se defina el uso correcto de los equipos y programas; por ejemplo, una política de contraseñas, el uso de dispositivos externos, los servicios en la nube, la movilidad y otros.
Una vez conocidas las vulnerabilidades que existen, la empresa debe fijar un plan de ciberseguridad para ir subsanándolas, en los activos críticos, al menos las de mayor severidad, que son las más fáciles de explotar por los ciberdelincuentes.
¿Cómo afecta esto al riesgo?
En materia de seguridad es imposible proteger todo ante cualquier tipo de amenazas. La alternativa viable consiste en alcanzar el equilibrio, saber dónde se tiene que invertir para conseguir mayor protección; es decir, evaluar los riesgos y gestionarlos. Para lograr el equilibrio tenemos que priorizar, y esto solo es posible conociendo la fórmula del riesgo:
Amenaza x Vulnerabilidad x Impacto = Riesgo
En esta ecuación de cuatro variables, el impacto o la consecuencia es el valor del activo o lo que le costaría a la empresa reponer el daño producido por la amenaza si esta se materializara. Y el riesgo se define como la probabilidad de que ocurra un incidente de seguridad. Como el riesgo no es más que una probabilidad, se puede medir, y se suele cuantificar con un número entre 0 y 1 o con un porcentaje.
