Esta semana continuamos con el bloque dedicado al error 3/5, sobre la importancia que tiene la Ciberseguridad en todo proyecto de digitalización. Se trata un tema muy actual, y que, dada su criticidad, conviene entender con un cierto nivel de detalle.
La semana pasada tratamos algunos conceptos como las ventajas del uso conjunto de seguridad perimetral y «endpoint security», algunas técnicas de defensa activas, el concepto «security by design», algunos aspectos legales y la importancia de la concienciación de los trabajadores. Esta semana entramos al detalle repasando cuáles son los tipos de ataques más comunes, y qué técnicas podemos aplicar para su mitigación.
Veamos a continuación cuáles son los tipos de ataques más comunes (centrándonos especialmente en entornos industriales), y qué técnicas podemos aplicar para intentar evitarlos, o más bien mitigarlos, y contener sus consecuencias.
Ataques de fuerza bruta o diccionario para la autenticación
Se trata básicamente de un enorme número de intentos de autenticación siguiendo un orden concreto, intentando dar por la fuerza con una combinación válida de usuario y clave. Hoy en día cualquier sistema mínimamente sofisticado cuenta con medidas para evitar este tipo de abusos (bloqueo por ráfaga, control de rango temporal), si bien no ocurre lo mismo en equipamiento más antiguo, o incluso en cierto equipamiento moderno que, por su sencillez, no tenga contempladas este tipo de situaciones. Ante la más que probable imposibilidad de actualizar o sustituir el software de control de los activos, la técnica de mitigación más acertada será la que trabaja a nivel de inspección de comunicaciones. Ciertos elementos de seguridad perimetral protegerán a los activos de la red de intentos provenientes del exterior de la misma, pero no podrán protegerlos de ataques (voluntarios o involuntarios) provenientes del interior. Así, una buena combinación de seguridad perimetral y “endpoint security” deberían reducir el riesgo a sufrir este tipo de ataques. Además, implantar un honeypot (engaño activo) que replique algunos de los sistemas críticos puede ayudar a detectar de forma temprana posibles vectores de ataque antes de que éstos puedan alcanzar a los activos reales. También es aconsejable que todo trabajador de la organización tenga conciencia sobre cómo debe crear credenciales de acceso seguras, y su gestión en un repositorio controlado.
Robo de credenciales
En un incidente de robo de credenciales poco importa la complejidad de la clave, ya que estamos en un escenario en el que la contraseña ha sido comprometida. Estos robos suelen darse mediante técnicas de ingeniería social, phishing, etc. La técnica más efectiva contra el uso de credenciales robadas es el 2FA (Two Factor Authentication – Autenticación de Dos Factores). Ahora bien, no siempre será posible implementar este tipo de autenticación, y menos todavía en activos industriales. Por tanto, ante una sospecha de robo de credenciales, el primer paso será siempre revocar su validez y proceder a generar unas nuevas. Incluso, en ciertos entornos, es recomendable que esa renovación se realice de forma periódica.
Acceso utilizando credenciales por defecto
Se trata de un tipo de ataque que lamentablemente es muy común en redes IoT e IIoT, y esto sucede porque su ratio de éxito es bastante alto. La vulnerabilidad como tal aparece por una combinación de dos factores. El primer culpable es el fabricante de los dispositivos, que los vende estableciendo en todos ellos el mismo usuario y clave (“por defecto”). Aunque es una práctica que va ligeramente en descenso, hoy día sigue siendo muy habitual en multitud de dispositivos, desde cámaras de videovigilancia hasta autómatas de control industrial. Basta con echar un vistazo utilizando la herramienta Shodan [https://www.shodan.io/] para ver la cantidad brutal de dispositivos expuestos a internet que, no solo son accesibles, sino que además están configurados manteniendo las credenciales originales. Recordemos que la ciberseguridad es como una cadena, basta con tener un eslabón débil para tener el problema metido en la cocina. El segundo culpable es el técnico que implanta el sistema sin modificar las credenciales de fábrica. La mitigación de esta vulnerabilidad es clara, creo que sobra decirlo. Basta con cambiar siempre las credenciales “de fábrica” por unas seguras. No es tanto una falta de conocimiento técnico, sino más bien una falta de concienciación.
Phishing y técnicas de engaño
Se trata habitualmente de correos electrónicos engañosos que, mediante la suplantación visual de un entorno conocido (como puede ser la pantalla de acceso a un sistema de uso habitual por el usuario), redirigen a la víctima a un entorno controlado en el que quedarán registradas sus credenciales de acceso. En los últimos años también han comenzado a proliferar Apps móviles que comparten este modo de operación, aunque su objetivo no suele estar relacionado con el sector industrial, sino que están principalmente dirigidas a obtener acceso a cuentas bancarias. Para prevenir este tipo de ataques se requiere un equilibrio entre formación/concienciación de los usuarios, y ciertos sistemas de vigilancia de correo electrónico que pueden detectar y bloquear este tipo de mensajes.
Man in the Middle
Tal y como su nombre indica, el atacante intenta situarse en mitad de nuestro canal de comunicación con un sistema que probablemente querrá comprometer, teniendo acceso a información sensible si el canal no está debidamente cifrado. Suelen ser vectores de ataque que incluyen varias fases, inicialmente puede ser un ARP poisoning si la víctima está en la misma red, un DNS flooding o un DNS hijacking de un router si la víctima está en una red diferente, o incluso un ataque directo para instalar certificados maliciosos a través de un plugin de un navegador. La mitigación de este tipo de ataques pasa por establecer canales de comunicación cifrados con TLSv1.2 como mínimo (idealmente TLSv1.3) utilizando únicamente algoritmos de firma y cifrado que cumplan con el RFC 7525. Los servicios deberán tener instalados certificados válidos y debidamente firmados por una autoridad de certificación (CA) reconocida. Los activos que no puedan cumplir estas especificaciones deberán integrar otras soluciones que permitan cifrar sus comunicaciones, tales como dispositivos VPN, tunelizadores, y según el caso incluso proxys inversos.
En este artículo hemos visto algunos típos de ataques comunes, y ciertas pautas para mitigarlos. Es importante conocer contra qué tipo de amenazas tenemos que protegernos, para poder diseñar estrategias adecudas. Recordemos cómo la semana pasada estudiamos las ventajas del uso conjunto de seguridad perimetral y «endpoint security», algunas técnicas de defensa activas, el concepto «security by design», algunos aspectos legales y la importancia de la concienciación de los trabajadores. Todo ello forma parte de una necesaria actitud consciente hacia la Ciberseguridad, que evite (o mitigue en gran medida) sufrir una catástrofe en forma de bloqueo o chantaje, y no impida la evolución del proyecto 4.0 «factible» al Negocio Digitalizado Viable y Rentable (y ciberseguro).
La semana que viene seguiremos «entrando en harina» y apmliaremos la lista sobre los tipos más de ataques en entornos industriales, y cuáles son las técnicas más adecuadas para su mitigación.
Si quieres saber si tu estrategia no solo es «factible» sino también viable y rentable, te recomiendo que solicites nuestro cuestionario «del 4.0 al 4.1» de 20 preguntas que te servirá para obtener nuestro diagnóstico inicial sin coste, que estoy seguro te ayudará a determinar si estás tomando las decisiones adecuadas.