18 minute read
La evolución de la seguridad para Infraestructuras Críticas
Portada
por VENTAS DE SEGURIDAD
Preparamos un completo análisis, con expertos invitados, sobre los diferentes factores que influyen en la seguridad y protección en Infraestructuras Críticas.
Las Infraestructuras Críticas (IC) son sectores que demandan muchas necesidades de seguridad, ya que debido a la importancia de las operaciones que realizan requieren que todos estos procesos cuenten con la máxima protección y respaldo. Allí es cuando aparecen las soluciones de seguridad, que a lo largo del tiempo han evolucionado para siempre estar un paso por delante de los delincuentes y ahora de los ciberdelincuentes, este último se ha convertido en un rival de máximo cuidado.
Así como sucedió con la gran mayoría de industrias y verticales, el 2020 significó también un año de retos para sectores como el minero, bancos, energético, alimentación, agua, etc, pues sus estrategias operacionales se tuvieron que modificar debido al confinamiento y eso dejó fisuras que los delincuentes buscan aprovechar para sabotear procedimientos o robar información clave de las empresas.
Para hablar más sobre la actualidad de la seguridad en Infraestructuras Críticas invitamos a tres expertos en el tema, quienes nos darán sus opiniones considerando su área de especialidad. Contamos con Manuel Zamudio, Presidente de ALAS Comité Nacional México y Gerente de Asociaciones Industriales de Axis Communications; Jhonatan Escobar, Director para Latinoamérica de CyberExtruder, y David F. Pereira, CEO - Director Ejecutivo de SecPro.
Evolución de la seguridad en Infraestructuras Críticas
Para Manuel Zamudio se han presentado importantes avances en seguridad para proteger esta clase de sectores. Destaca el tema de la administración y el control central, pero también resalta que todos estos avances han dejado como resultado brechas importantes en ciberseguridad.
“Mantener los sitios críticos a salvo, libre de intrusión desde el perímetro hasta el núcleo, mejorar la eficiencia operativa y proteger la salud y seguridad del personal que ahí labora y de los visitantes (clientes, proveedores y otros), ha provocado importantes avances a lo largo del tiempo. Hemos pasado de trabajar en sitios con sistemas y procedimientos aislados a una administración de control central que puede ser local y/o remota, que permite evaluar y validar cada situación, amenaza y su respuesta de una manera eficaz”, comenta Manuel.
Y agrega que “hemos pasado de tecnologías analógicas y de procedimientos manuales a conectar todo en ambientes de red y automatizar cada vez más todo aquello que es susceptible de ser automatizado, sin embargo, esto abre puertas a nuevas amenazas y expone vulnerabilidades que antes no contemplábamos, ya que no todos los dispositivos que conectamos cuentan con un diseño, fabricación, operación y mantenimiento seguros, lo que abre brechas de seguridad y ahora, de ciberseguridad”.
Por su parte, Jhonatan Escobar, experto en ciberseguridad, coincide con algunos aspectos mencionados antes: “En la actualidad, por la pandemia, muchos fabricantes han debido innovar y salir de lo tradicional para entrar en lo que demanda el mercado. Los procedimientos actuales con relación a depender de personal en sitio para mitigar incidencias se han visto modificadas por soluciones remotas o, en muchos casos, autónomas. A futuro preveo mejores procesos automatizados monitoreados con Sla´s (Acuerdos de Nivel de Servicio) más estrictos”.
Caso contrario opina David Pereira, también experto en ciberseguridad, quien dice no haber visto avances destacados en su nicho de trabajo para IC, un sector que considera que no tiene la atención de otros: “La evolución, en lo respectivo al área de ciberseguridad orientada a Infraestructuras Críticas ha sido muy lenta; por otro lado, existen pocas soluciones y son normalmente bastante costosas, así que no siempre se implementan; pienso que los fabricantes normalmente se orientan a los nichos de mercado con más cliente potenciales, y por supuesto las infraestructuras críticas, no obstante su importancia, son pocas en comparación con infraestructuras comunes”.
¿Cuánto le costó al mundo el ciberdelito en 2020?
Con nuestras vidas cada vez más en línea, el ciberdelito es más rentable que nunca. El año pasado, las pérdidas globales por delitos cibernéticos alcanzaron niveles récord.
Según los datos analizados por el equipo de Atlas VPN, el ciberdelito le costó al mundo más de US$1 billón en 2020, alrededor del 1% del PIB mundial. Si bien se perdieron US$945 mil millones debido a incidentes cibernéticos, se gastaron US$145 mil millones en ciberseguridad.
Las cifras se basan en el informe Hidden Cost of Cybercrime de McAfee (publicado en diciembre de 2020), que recopiló datos de fuentes disponibles públicamente sobre pérdidas nacionales y entrevistas con profesionales de ciberseguridad de 1.500 empresas de Japón, Australia, Alemania, Francia y Reino Unido, Canadá y Estados Unidos.
En general, los costos de ciberseguridad en 2020 aumentaron en más del 50% en comparación con 2018, cuando se gastaron más de US$600 mil millones para manejar el ciberdelito. Mientras tanto, las pérdidas debido a incidentes cibernéticos aumentaron en un 81% en comparación con hace dos años, cuando los daños ascendieron a 522.500 millones de dólares.
Ingresos en software de seguridad aumentarían un 20% en dos años
Según los datos presentados por Stock Apps, se espera que los ingresos globales por software de seguridad alcancen los 45.500 millones de dólares en 2021, un aumento del 20% en dos años.
Los ingresos superarán los 61.000 millones de dólares en 2025 El mercado de software de seguridad incluye todas las soluciones de software que tienen como objetivo proteger dispositivos informáticos individuales, redes o cualquier otro dispositivo habilitado para la informática. Incluye software antivirus, gestión de acceso, protección de datos y seguridad contra intrusiones y cualquier otro riesgo de seguridad a nivel del sistema, tanto en la instalación local como en el servicio en la nube.
Los últimos años han sido testigos de una adopción masiva de estas soluciones, impulsada por el auge del comercio electrónico, los grandes desarrollos tecnológicos que incluyen AI e IoT, y el creciente número de dispositivos conectados.
En 2016, todo el mercado valía US$27 mil millones, reveló la encuesta de Statista. En los dos años siguientes, los ingresos aumentaron más del 40% hasta los 38.100 millones de dólares.
Estados Unidos generará el 50% de los ingresos globales En comparación global, Estados Unidos representa el mercado líder de software de seguridad que se espera que genere 22.800 millones de dólares, o el 50% de los ingresos este año. Los datos de Statista indican que los ingresos por software de seguridad de EE. UU. aumentaron un 20% en los últimos dos años, mientras que el mercado unificado alcanzará un valor de 30.500 millones de dólares para 2025.
Con 2.300 millones de dólares en ingresos o casi diez veces menos que el líder de Estados Unidos, Alemania se ubicó como el segundo mercado de software de seguridad más grande del mundo. El Reino Unido, Japón y China le siguen con US$2.2 mil millones, US$2.1 mil millones y US$1.9 mil millones en ingresos, respectivamente.
Ciberseguridad, la principal amenaza
Los circuitos de CCTV por IP, la automatización e integración, entre otros, son sistemas que deben ser muy bien protegidos contra la ciberdelincuencia. Por ello, este sigue siendo el tema que más preocupa a un sector como el de IC. Así lo confirman nuestros invitados, como Jhonatan, quien incluso cita ejemplos recientes: “La principal amenaza son los ciberataques y el sector de energía. Miremos por ejemplo el caso de la tormenta de nieve reciente que ocurrió en Estados Unidos, donde medio país resultó sin energía eléctrica, y esto conlleva a que sin energía muchos centros de datos operen a la mitad de su capacidad”.
Sectores de Infraestructuras Críticas
Gráfico: Lisa Institute
Johantan asegura que este tema se ha vuelto muy relevante debido a la falta de procedimientos que se cumplen con relación a las innovaciones tecnológicas y amenazas que salen día a día.
Sobre estas amenazas, Manuel Zamudio comenta varias razones por las que la ciberseguridad está latente: “Ahora es posible acceder a los sistemas desde cualquier lugar y no necesariamente por las personas ni con las intenciones correctas o bien, los mismos equipos podrían bloquear la interacción como fue planeada. Adicionalmente a las deficiencias imputables al factor humano, temas de ingeniería social, malas prácticas, falta de observación y cumplimiento de normas, regulaciones no actualizadas y de los motivos que podrían provocar un acceso no autorizado, fuga de información, robo de datos, sabotaje, etc. Existen también riesgos intrínsecos a los equipos interconectados, mismos que deberían funcionar tal como se espera que lo hagan ¡siempre!, incluso en el peor escenario (que es cuando más falta hacen) y por el mayor período de tiempo, evitando entrar en periodos de obsolescencia, límites en su escalabilidad ni falta de funcionalidad, cumpliendo con estándares y siendo compatibles con sistemas actuales y futuros acordes con las políticas medio ambientales, de manera sostenible y sustentable”.
Entre tanto, David Pereira reseña exactamente las amenazas digitales que atacan constantemente al sector de IC: “Podríamos destacar el Ransomware y las APT; el Ransomware tratando de evitar el control por parte de dueño de la infraestructura y exigiendo un rescate para devolver el control a su dueño legítimo, y las APT por parte de actores maliciosos o adversarios que están a la espera del momento propicio para cometer un acto terrorista o un acto de guerra”.
David insiste en que la ciberseguridad en IC es constante, pero que sigue siendo un sector de menor importancia para las fábricas por razones que expone a continuación: “La ciberseguridad siempre ha sido relevante, pero como mencionábamos antes, no existen tantas soluciones y su costo es muy alto; muchas veces las empresas optan por tener infraestructuras Air-Gapped, es decir, totalmente desconectadas de redes externas, pero esto no siempre es viable, dado que se requiere algún tipo de administración remota de esas infraestructuras, así que debemos protegerlas a cualquier costo”.
Riegos en ciberseguridad
Manuel menciona una serie de riesgos que existen en dispositivos de seguridad diseñados para IC.
“Existe un nivel inicial de seguridad en los equipos, que consiste en poner un nombre de usuario y contraseña para acceder al equipo o sistema. Es sorprendente la cantidad de usuarios que usan la llamada “contraseña por defecto” o que ni siquiera le ponen clave de acceso, o que por comodidad le ponen la misma a todos los equipos y no tienen una política de contraseñas ni a alguien que supervise el cumplimiento de esta (por ejemplo, cambiar periódicamente las claves, supervisar la vigencia y privilegios de usuarios que deben tener acceso, revisar la bitácora de accesos, etc.)”.
El Presidente de ALAS agrega que “esto no termina ahí, existen advertencias internacionales sobre productos que tienen la posibilidad de generar claves de “súper usuario”, de apagar y encender los equipos de manera remota, regresar a parámetros de fábrica, agregar usuarios, copiar listas de usuarios y claves de acceso, instalar archivos ejecutables no verificados, cambiar parámetros de identificación como la MAC Address o de ponerle un firmware modificado, enviar metadatos a terceros no autorizados, permitir el acceso a autoridades de otros países (y de quienes conozcan el proceso para hacerlo), ver el video en vivo o grabado, escuchar sin necesidad de pedir permiso e interactuar con ese y otros equipos conectados al sistema, así como borrar evidencias”.
Manuel también resaltó una serie de escenarios y ejemplos en los que se vio afectada la ciberseguridad en IC:
• Alguien de manera remota, coordinada y anónima, saboteó el sistema eléctrico de una ciudad entera en medio del invierno (2015 y 2016 en Ucrania).
• Un exempleado molesto con conocimiento de las claves de acceso vertió aguas residuales en parques y ríos sólo como protesta (Australia, 2000).
• Controlaron el sistema de seguridad instrumentado de una planta petroquímica (Arabia Saudí, 2017).
• Más novelesco: atacaron a los PLC’s de las máquinas centrifugadoras de una planta nuclear durante meses (2010 Natanz, Irán).
• Paralizaron el sistema de salud en uno o más países bloqueando el acceso a los historiales médicos de los pacientes (WannaCry, 2017).
• Borraron evidencia de delitos de un Centro de Mando en una ciudad importante.
• Que saboteen el sistema vial o que le den acceso a las cámaras al crimen organizado (podría pasar, si no es que ya sucedió y ni nos hemos enterado).
Una de cada cinco organizaciones no tiene ningún plan de prevención de incidentes cibernéticos
Si bien los riesgos de delitos cibernéticos aumentan cada año, muchas organizaciones aún no los reconocen. Una quinta parte (20%) de las organizaciones en todo el mundo no tiene planes sobre cómo protegerse contra los eventos de delitos cibernéticos.
En general, el 19% de las organizaciones han organizado programas de respuesta a incidentes de ciberseguridad, pero no tienen un plan de prevención. Sin embargo, solo el 32% de los encuestados cree que los programas de su organización fueron realmente exitosos en responder a eventos de seguridad de TI. Además, el 1% de las empresas no tiene ninguna estrategia de ciberincidentes.
Por otro lado, la mayoría, el 44% de las organizaciones en todo el mundo, están bien preparadas para prevenir y reaccionar ante incidentes cibernéticos. Mientras tanto, el 33% de las empresas a nivel mundial solo han creado estrategias de prevención, sin embargo, no han pensado cómo responder a los eventos de ciberdelincuencia.
Soluciones ciberseguridad
Frente a este tema, Jhonatan Escobar describe algunas opciones: “Recomiendo la implementación de Firewalls actualizados, análisis mensuales del estado de la infraestructura y los dispositivos que la integran, así como sistemas de respaldo de energía”.
David Pereira, por su parte, menciona que “se deben implementar Firewalls, mecanismos de filtrado del tráfico entrante y saliente, mecanismos de verificación de integridad de los sistemas operativos y de los datos de configuración de cada dispositivo, que detecten si algo se ha cambiado sin autorización, antimalware, entre muchos otros”.
Otras soluciones en seguridad y vigilancia
Manuel, experto en todo lo relacionado con videovigilancia, CCTV, intrusión, control de acceso, entre otros rubros, destaca las tecnologías más recomendadas para ser usadas en IC:
“Para evitar la intrusión, la interrupción y también la lesión (principales amenazas para la productividad de la instalación crítica, la rentabilidad de la operación y el bienestar de los empleados en sus instalaciones), las tecnologías disponibles más utilizadas emplean principalmente cámaras que transmitan imágenes a color y/o blanco y negro, así como imágenes térmicas y termográficas, combinadas con el uso de sistemas de radar, audio y control de acceso combinando analíticas como el reconocimiento facial, de iris, de matrículas vehiculares y registros en contenedores, códigos QR, etiquetas magnéticas, tarjetas y aplicaciones móviles, conteo de personas, cálculo de aforo, automatización de accesos, de iluminación, aire acondicionado, integración con sistemas de alertamiento de distintos tipos, ya sean de intrusión, detección de humo o fuego y un gran número de otros paneles y dispositivos. También es posible detectar si el personal cumple con protocolos, como el uso de equipos de protección personal o un simple lavado de manos; incluso supervisar y atender situaciones de emergencia de una manera ágil y confiable (por ejemplo, una evacuación)”.
Como complemento a lo anterior, es importante tener en cuenta que en la operación de las instalaciones de infraestructura crítica se facilita y automatiza la lec-
tura y verificación remota de indicadores y sensores, ofrecer asistencia remota y automatizada así como la recopilación de datos estadísticos para las áreas de inteligencia, indicar tendencias y permitir la planificación de operaciones como el mantenimiento, además de permitir el cumplimiento de estándares internacionales como C-TPAD y otros, que se benefician con el uso de estas herramientas.
¿Qué pide hoy el usuario final de IC?
Además de todo lo mencionado anteriormente, que se centró en lo tecnológico, existe otro aspecto muy importante en la seguridad para IC y es el recurso humano. Recordemos que muchos de los errores que llevan a fallas en la seguridad siguen siendo generados por una mala gestión del profesional. Por eso, nuestros invitados coinciden en que el usuario final sigue demandando más seguridad, pero que para ello la constante capacitación y la capacidad de predecir fallas son puntos importantes.
“Las personas piden poder utilizar la tecnología de manera segura, pero es indispensable que entendamos que la seguridad está en manos de todos; es un esfuerzo que nos compete sin excepción y la solución está en la capacitación y la concientización de todos y cada uno de los usuarios que interactúan con la tecnología; Actualmente nadie puede decir que se encuentra aislado o que no utiliza medios tecnológicos en su día a día, sin importar su edad o actividad”, mencionó David Pereira.
“El usuario final pide seguridad, pero la capacitación dependerá de explicarle los riesgos que asume si no respeta los protocolos o procesos que dictamina la empresa. La seguridad se ve muy afectada no por los equipos ni por las actualizaciones sino por como el usuario utilice los recursos”, comentó Jhonatan Escobar.
“El usuario consciente y preparado no compra productos o marcas, busca soluciones y para ello, se prepara y asesora. En muchos casos los usuarios tienen claros los objetivos y han estandarizado sus procesos y herramientas, pero en otros casos no, principalmente cuando no cuentan con las habilidades y conocimientos necesarios, o no están actualizados en temas tecnológicos y dependen de las recomendaciones de sus proveedores, quienes evidentemente podrían buscar la satisfacción de sus propios intereses y no necesariamente son expertos en los procesos del cliente. Muchos fabricantes ofrecen capacitación para utilizar o para comercializar sus productos, algunas instituciones ofrecen capacitación relacionada a los procesos, algunos profesionales de la seguridad física cuentan con niveles de certificación reconocida internacionalmente, otros cuentan con preparación y reconocimiento en el área informática y de infraestructura, mientras que otros son muy hábiles con el manejo de proyectos. Difícilmente alguno cuenta con todos y muchas veces los proyectos urgen y el presupuesto siempre es limitado (más asociado a un tema de gasto y no de inversión)”, finalizó Manuel Zamudio.
Manuel Zamudio Presidente de ALAS México y Gerente de Asociaciones Industriales de Axis Communications
• Creo que una de las mayores amenazas viene desde el origen, cuando quien propone o elije tecnologías para su uso en instalaciones críticas, no considera los 360 grados que hay alrededor de cada equipo y su funcionamiento con una óptica que exceda lo relacionado a la seguridad física del sitio.
• La posibilidad de ciberdelincuencia a través de la red es una grave preocupación. Por este motivo, necesitamos centrarnos en ello al 100%. Involucrar y trabajar exhaustivamente con todas las partes interesadas como socios corresponsables para afrontar la amenaza, es decir, se trata de una responsabilidad compartida.
Invito a los usuarios de instalaciones de infraestructuras críticas que estén interesados en conocer más de soluciones en seguridad electrónica a acercarse a otros grupos especializados (adicionalmente a sus Comités de Ayuda Mutua o CLAMs y colegas en clústers o hubs), asociaciones donde al afiliarse, ya sea como individuos o como empresas, convivirán con expertos en muchos de los temas que menciono, proveedores y otros colegas con las mismas inquietudes y necesidades, donde tendrán además la posibilidad de intercambiar experiencia y conocimiento así como de obtener el reconocimiento gremial y apoyar al desarrollo de sus carreras.
David F. Pereira, CEO Director Ejecutivo de SecPro.
• En días recientes una planta de tratamiento de aguas fue comprometida, y el o los atacantes intentaron envenenar el agua potable de miles de personas; de forma lamentable, estoy seguro que el futuro nos depara actos similares con mayor frecuencia. No debemos olvidar la posibilidad del error humano, ya sea por descuido al realizar una mala configuración, o por caer en un ataque de ingeniería social que le brinde a un atacante información vital para realizar sus ataques
• La pandemia lo cambió TODO; nos enfrentamos no a una nueva normalidad, sino a una nueva realidad; en la administración de la infraestructuras críticas la posibilidad de conexiones remotas de forma segura es indispensable para administrar y gestionar; esto ya ocurría antes y ahora con la pandemia se ha intensificado.
• Si quieres evitar ser víctima de un ciberdelincuente, la solución está en tus manos: Capacitación y Concientización acerca de los riesgos informáticos.
Jhonatan Escobar Director para Latinoamérica de CyberExtruder
• El tema de la ciberseguridad en este sector de Infraestructuras Críticas se ha vuelto tan relevante por la falta de procedimientos que se cumplen con relación a las innovaciones tecnológicas y amenazas que salen día a día.
• Con la pandemia, indiscutiblemente los ciberataques aumentaron porque muchos hacen trabajo en casa motivo por el cual muchas empresas modifican accesos remotos sin evaluar el riesgo que conlleva no evaluar previamente un acceso.
• Para crear un plan de seguridad para esta Infraestructuras Críticas debemos evaluar qué demanda el usuario y qué necesita la empresa que el usuario accede. Sobre eso se determina un plan para saber lo que se permite y lo que no.
América Latina sufrió notable aumento de ciberataques en sector salud
Un aumento del 112% en ataques dirigidos contra organizaciones relacionadas con la salud y la medicina se presentaron en América Latina, ocupando por regiones el tercer lugar después de Europa Central (+145%) y Asia oriental (+137%) siendo las más afectadas, según un informe elaborado por el analista Check Point Researc.
El sector salud, el objetivo más atacado por los cibercriminales
Los investigadores de Check Point Research señalan que la media de ataques semanales contra las empresas médicas en noviembre de 2020 fue de 626, muy por encima de los 430 de los meses anteriores. A pesar de que el aumento de los ciberataques trae consigo un mayor rango de vectores de ataques utilizados (ejecución de código remoto, botnets, DDoS), el ransomware es la ciberamenaza más utilizada. Esto se debe, principalmente, a que los hospitales son mucho más propensos a pagar el rescate por la necesidad de tener todos sus sistemas operativos para hacer frente al aumento de contagios por coronavirus, programas de vacunación, entre otros. De esta forma, se sitúa a la cabeza en el ranking de los objetivos favoritos de los cibercriminales, duplicando la tasa de crecimiento (22%) del total del resto de sectores.
