Como siempre decimos, es muy importante estar al tanto de las últimas noticias sobre ciberseguridad y amenazas. Estar preparado es ya más de la mitad de la batalla.
Aun así, incluso los que lo saben todo sobre ciberseguridad, los que usan contraseñas seguras y las cambian con regularidad, los que reconocen mensajes de phishing a simple vista y protegen sus dispositivos con soluciones de seguridad de primera, hasta los que lo hacen todo bien, no están completamente a salvo porque todos vivimos en una sociedad.
La cuestión es que tenemos el control sobre nuestros dispositivos personales, pero el equipamiento industrial está fuera de nuestro alcance.
¿Ciberseguridad? ¡Pero si horneamos galletas!
Nuestros expertos en ciberseguridad han realizado un estudio para averiguar en qué estado se encuentra la cuestión de la seguridad de los sistemas de control industrial.
Shodan, el motor de búsqueda para dispositivos conectados, nos mostró que existen 188 019 sistemas industriales repartidos en 170 países a los que se puede acceder a través de Internet. La mayoría de ellos se localizan en Estados Unidos (el 30,5 %) y en Europa, sobretodo en Alemania (13,9 %), España (5,9 %) y Francia (5,6 %).
Siguen aumentando las #vulnerabilidades en los sistemas de control #industrial (ICS) https://t.co/nj0t2srhaN pic.twitter.com/q3y8dPCDi4
— Kaspersky España (@KasperskyES) July 22, 2016
Un aplastante 92% de los sistemas de control industrial (ICS) detectados son vulnerables. Un chocante 87% tiene bugs de nivel medio y el 7% tiene problemas críticos.
En los últimos cinco años, los expertos han examinado completamente dichos sistemas y han encontrado muchos agujeros de seguridad y, durante este período, la cifra de vulnerabilidades en los componentes ICS se ha multiplicado por diez.
De los sistemas que nuestros expertos han analizado, el 91,6 % utilizaba protocolos inseguros, dando a los delincuentes la oportunidad de interceptar y modificar los datos mediante ataques man-in-the-middle.
También, el 7,2% (cerca de 13.700) de los sistemas pertenecían a grandes compañías aeroespaciales, de transporte, de energías, de petróleo, de gas, de metalurgía, de producción de bebidas y comida, de construcción y otras áreas críticas.
Hackear un avión: ¿Ya es una realidad? http://t.co/xWyeaYq8Mn #infosec #aviación #hacking pic.twitter.com/0Xmme4xLyc
— Kaspersky España (@KasperskyES) September 11, 2015
En otras palabras, los ciberdelicuentes hábiles son capaces de influir sobre cualquier sector económico. Los que sufrirán las consecuencias son los clientes de las compañías hackeadas que, como consumidores, recibirán el agua contaminada o la comida no comestible o sufrirán apagones de la calefacción en invierno.
¿Qué significa para todos nosotros?
Los posibles efectos y resultados dependen de las compañías que tengan los cibercriminales en el punto de mira y del ICS que usen dichas compañías.
Ya hemos visto los resultados de los hackeos industriales. En diciembre de 2015, la mitad de las casas de la ciudad ucraniana Ivano-Frankivsk sufrieron un apagón a causa de un ataque APT Black Energy. El mismo año, también se detectó un ataque a la compañía Kemuri Water. Los ciberdelincuentes habían penetrado en su red y manipularon los sistemas encargados de añadir los químicos que limpian el agua.
Además, los hackers también atacaron el Aeropuerto de Warsaw Chopin. Es más, un años antes, los delincuentes interrumpieron el funcionamiento de un alto horno en una planta siderúrgica de Alemania.
Hackear una planta química es posible https://t.co/h5jIfyqCAH #hacking #ciberseguridad pic.twitter.com/5uHbg6IkRR
— Kaspersky España (@KasperskyES) August 26, 2015
En general, la seguridad de los sistemas de control industrial deja mucho que desear. Kaspersky Lab ha avisado en varias ocasiones sobre estos peligros, pero los escépticos seguían demandando que habláramos de casos reales en los que estas vulnerabilidades se hayan explotado realmente. Por desgracia, ahora sí tenemos pruebas de ello.
Por supuesto, una sola persona puede hacer poco para resolver un problema sistémico: el equipamiento industrial no puede cambiarse en un día ni, incluso, en un año; así que, como ya hemos dicho, la mejor defensa en ciberseguridad es el conocimiento. Cuanta más personas estén al tanto de este problema, habrá más oportunidades de que la infraestructura industrial crítica sea parchada antes de que algo realmente malo suceda.