Robos de identidad y datos de usuario, ransomware, phising, pharming o ataques de denegación de servicio, son términos que escuchamos cada vez más en los medios de comunicación1,2,3,4. El mundo hiperconectado en el que vivimos hace que las empresas como entidades productivas estén cada vez más expuestas a ser objeto de un delito cibernético5,6,7. Las campañas existentes para concienciar en ciberseguridad son muy diversas pero, ¿ cómo pueden las empresas blindarse ante todas estas amenazas sin llegar a comprometer sus objetivos finales de negocio?
Tradicionalmente la orquestación de la ciberseguridad en entornos industriales ha sido delegada casi en exclusiva al departamento IT de las empresas, que han centrado su trabajo en proteger las redes ofimáticas, aplicando estándares y normativas bien conocidas como: ISO/IEC 27001, ISO/IEC 15408, o la ISO/IEC 19790. Para estos equipos expertos en ciberseguridad, «no hay mejor defensa que un buen ataque». Esta frase del general chino Sun Tzu (autor de la obra «El Arte de la Guerra», considerada una obra maestra sobre la estrategia) subyace en el fondo de los conocidos como test de penetración (o pentesting). Los test de penetración son básicamente un conjunto de ataques simulados dirigidos a un sistema informático con la única finalidad de detectar posibles debilidades o vulnerabilidades para que sean corregidas y no puedan ser explotadas 8. ¿Y por qué son tan importantes estos test? Porque diversos estudios muestran que la mayoría de los ataques aprovechan vulnerabilidades ya conocidas y recogidas en bases de datos como las de CVE, OWASP o NIST que por diversas razones no son corregidas 9,10.
Dentro del sector IT algunas de las metodologías y marcos de auditorías de seguridad más conocidos para hacer pentesting son: Open Source Security Testing Methodology Manual (OSSTMM), Information Systems Security Assessment Framework (ISSAF), Open Web Application Security Project (OWASP), y Penetration Testing Execution Standard (PTES). Cada una de estas metodologías adopta una estrategia diferente para las pruebas de penetración en función del tipo de aplicativo a auditar (móvil nativo, web, infraestructura, …), siendo en este sentido complementarias.
A nivel más práctico, los equipos de IT disponen de una gran cantidad de herramientas para realizar estos test, tanto gratuitas y/o de código abierto como comerciales. Algunas de las más conocidas son: Metasploit, Community Edition, Nessus, Edición personal, Saint, Nmap, Netcat, Burp Suite, John the Ripper o Wireshark. La mayor parte de estas herramientas viene ya pre-instaladas en distribuciones específicas para realizar test de penetración como son Kali Linux, BlackArch Linux o Parrot Security.
Sin embargo, las redes ofimáticas a cargo del departamento IT no son las únicas existentes en una empresa industrial. Hoy en día cada vez son más los recursos utilizados en la producción (PLC, SCADA, …), normalmente interconectados por buses de campo compatibles con el protocolo TCP/IP de Internet, como por ejemplo PROFIENT o MODBUS TCP. Desde ellos, gracias a la función de enrutado disponible en PLC´ s de diversas marcas, es posible acceder mediante pasarelas (gateways) a segmentos de otros buses de campo a los que anteriormente no se podía acceder desde el exterior, como, por ejemplo, PROFIBUS11 . Esta interconexión entre las redes IT (Information Technology) y OT (Operation Technology), tan necesaria al hablar de Industria 4.0, aumenta las posibilidades que tiene la industria de ser objeto de ciberataque.
En la próxima entrega, hablaremos de cómo podemos defendernos de tal amenaza…
Autores del Post
Daniel Gómez (dangom@cartif.es)
Javier Román (javrom@cartif.es)
Marta Galende (margal@cartif.es)
2 https://www.lavanguardia.com/tecnologia/20211108/7847465/ciberataque-mediamarkt.html
4 https://www.elmundo.es/economia/2021/03/09/6047578dfc6c83411b8b4795.html
5 https://cincodias.elpais.com/cincodias/2021/07/21/companias/1626821663_803769.html
6 https://directivosygerentes.es/innovación/54-por-ciento-retailers-espanoles-sufrido-ciberataque
8 https://www.incibe.es/protege-tu-empresa/blog/el-pentesting-auditando-seguridad-tus-sistemas
10 https://www.muycomputerpro.com/2021/11/11/ransomware-ataques-vulnerabilidades-empresas