{"id":25602,"date":"2022-12-15T22:15:53","date_gmt":"2022-12-16T04:15:53","guid":{"rendered":"https:\/\/latam.kaspersky.com\/blog\/?p=25602"},"modified":"2022-12-15T22:15:53","modified_gmt":"2022-12-16T04:15:53","slug":"updating-ot-infrastructure","status":"publish","type":"post","link":"https:\/\/latam.kaspersky.com\/blog\/updating-ot-infrastructure\/25602\/","title":{"rendered":"El ant\u00eddoto contra el conservadurismo de la tecnolog\u00eda operativa"},"content":{"rendered":"

Lo he dicho por a\u00f1os: el antivirus ha muerto<\/a>.<\/p>\n

En un comienzo esto puede sonar extra\u00f1o, sobre todo al venir de alguien que ha movido los hilos de todo lo relacionado con virus y antivirus a finales de los ochenta<\/a> y principios de los noventa<\/a> desde el principio<\/a>. No obstante, si profundizamos un poco m\u00e1s en el tema AV (D. E. P.) y revisamos algunas fuentes autorizadas en este (ya antiguo) campo, la afirmaci\u00f3n parece bastante l\u00f3gica: por un lado, los \u201cantivirus\u201d se convirtieron en soluciones que protegen \u201ccontra todo\u201d y, por otro, el virus, como un tipo de programa malicioso particular, se ha extinguido. Casi<\/em>. Y es ese casi<\/em> aparentemente inofensivo que acabo de describir lo que actualmente causa problemas en la ciberseguridad, \u00a1a fines del 2022! Y esa es casi<\/em> la base de esta entrada de blog de hoy\u2026<\/p>\n

Entonces, virus. Los \u00faltimos que quedan en la Lista Roja<\/a>: \u00bfd\u00f3nde est\u00e1n ahora y qu\u00e9 est\u00e1n haciendo\u2026?<\/p>\n

Resulta que tienden a residir en uno de los subcampos m\u00e1s conservadores de la automatizaci\u00f3n industrial: el de la tecnolog\u00eda operativa<\/a> (TO<\/em>, que no debe confundirse con TI<\/em>). La TO es el \u201chardware<\/em> y software<\/em> que detecta o provoca un cambio, a trav\u00e9s de la supervisi\u00f3n y\/o el control directo de los equipos, activos, procesos y eventos industriales\u201d (Wikipedia). B\u00e1sicamente, la TO se relaciona con un entorno de sistemas de control industrial (ICS por sus siglas en ingl\u00e9s). TO = sistemas de control especializados en f\u00e1bricas, centrales el\u00e9ctricas, sistemas de transporte, sector de servicios p\u00fablicos y la extracci\u00f3n, el procesamiento y otras industrias pesadas. S\u00ed, infraestructura, y a menudo infraestructura cr\u00edtica<\/em>. Una vez m\u00e1s, s\u00ed: es en esta infraestructura industrial\/cr\u00edtica donde los virus inform\u00e1ticos \u201cmuertos\u201d se encuentran vivos y coleando: alrededor del 3 % de los incidentes cibern\u00e9ticos a ordenadores TO<\/a> se deben a este tipo de malware<\/em>.<\/p>\n

Pero \u00bfc\u00f3mo?<\/p>\n

En realidad, ya he dado la respuesta: la TO, m\u00e1s bien, su aplicaci\u00f3n industrial, es muy conservadora. Si hay un campo que cree fielmente en el antiguo dicho \u201c\u00a1si no est\u00e1 roto, no lo arregles!\u201d, es la TO. La estabilidad es lo primordial en este campo, no las \u00faltimas tendencias. Las nuevas versiones, las mejoras y hasta las actualizaciones (por ejemplo, del software) son vistas con escepticismo, desd\u00e9n y hasta \u00a1con miedo! De hecho, la tecnolog\u00eda operativa en los sistemas de control industrial normalmente se compone de viejas computadoras que crujen y usan Windows 2000 (!), adem\u00e1s de una variedad de software antiguo repleto de vulnerabilidades (tambi\u00e9n hay grandes agujeros en sus pol\u00edticas de seguridad y otras tantas pesadillas para los equipos de seguridad TI)<\/em>. En conclusi\u00f3n: el kit del departamento TI<\/em> en las oficinas, no en la planta de fabricaci\u00f3n ni en las instalaciones auxiliares\/t\u00e9cnicas, est\u00e1 vacunado contra todos los virus desde hace mucho tiempo, y se actualiza y revisa oportunamente, adem\u00e1s de estar completamente protegido por soluciones de ciberseguridad modernas. En el otro lado, el resto de las \u00e1reas (la TO), pasa justamente lo opuesto; por ende, los virus sobreviven y prosperan.<\/p>\n

Estos son los 10 programas maliciosos de la \u201cvieja escuela\u201d m\u00e1s extendidos que fueron encontrados en las computadoras del ICS en 2022:<\/p>\n

\"\"<\/p>\n

Sality<\/a>! Virut<\/a>! Nimnul<\/a>!<\/p>\n

\u00bfQu\u00e9 nos dice esta gr\u00e1fica?<\/p>\n

Primero<\/strong>, d\u00e9jame decirte que los porcentajes que se muestran se relacionan con una fase del \u201csue\u00f1o\u201d de estos virus de la vieja escuela. Pero, de vez en vez, pueden escapar de los l\u00edmites de un \u00fanico sistema infectado y propagarse por toda la red, provocando as\u00ed una epidemia local grave. Y, en lugar de un tratamiento completo, generalmente se recurre a copias de seguridad antiguas, que no siempre est\u00e1n \u201climpias\u201d. Adem\u00e1s, la infecci\u00f3n no solo puede afectar a las computadoras del ICS, sino tambi\u00e9n a los controladores l\u00f3gicos programables<\/a> (PLC por sus siglas en ingl\u00e9s). Un ejemplo, mucho antes de la aparici\u00f3n de Blaster<\/a> (un gusano de prueba de concepto capaz de infectar el firmware de los PLC), el loader<\/em> Sality ya estaba presente; bueno, casi: no en el firmware, sino en forma de script en archivos HTML de la interfaz web.<\/p>\n

Sality puede generar un gran desastre en los procesos de producci\u00f3n automatizados, s\u00ed, pero ah\u00ed no termina. Puede estropear la memoria mediante un driver malicioso e infectar los archivos y la memoria de las aplicaciones, lo que podr\u00eda provocar un fallo total en un sistema de control industrial en tan solo d\u00edas. Y en caso de una infecci\u00f3n activa, toda la red podr\u00eda derrumbarse, ya que Sality ha estado utilizando la comunicaci\u00f3n entre pares para actualizar la lista de centros de control activos desde el 2008. Es muy complicado que los fabricantes de ICS hayan escrito su c\u00f3digo pensando en este entorno de trabajo tan agresivo.<\/p>\n

Segundo<\/strong>, 0,14 % no parece mucho en un mes, pero representa miles<\/em> de casos de infraestructura cr\u00edtica en todo el mundo. Es una verg\u00fcenza cuando piensas c\u00f3mo se podr\u00eda excluir este riesgo de manera completa, simple y con los m\u00e9todos m\u00e1s fundamentales.<\/p>\n

Y tercero<\/strong>, debido a que la ciberseguridad de las f\u00e1bricas es como una coladera, no es raro que escuchemos noticias sobre ataques exitosos por parte de otros tipos de malware con frecuencia, en particular el ransomware (como el caso de infecci\u00f3n del ransomware Snake contra Honda<\/a>).<\/p>\n

Se entiende por qu\u00e9 la gente de la TO es conservadora: para ellos lo primordial es que los procesos industriales que supervisan no sufran interrupciones, lo que podr\u00eda suceder con nuevas tecnolog\u00edas\/mejoras\/actualizaciones. Pero \u00bfqu\u00e9 pasa con las interrupciones causadas por los ataques de virus de la vieja escuela que son permitidas por quedarse en el pasado? Justamente, e el dilema al que se enfrenta la TO que no se adapta a las nuevas tecnolog\u00edas es ese, de ah\u00ed las cifras mostradas en el gr\u00e1fico.<\/p>\n

Pero ese dilema puede ser cosa del pasado con nuestra \u201cp\u00edldora\u201d.<\/p>\n

Lo ideal ser\u00eda que existiera la capacidad de innovar, mejorar o actualizar el kit de la TO sin arriesgar la continuidad de los procesos industriales. Es por esto que el a\u00f1o pasado patentamos un sistema que justamente es lo que garantiza\u2026<\/p>\n

En resumen, funciona as\u00ed: antes de introducir algo nuevo en los procesos que DEBEN seguir funcionando, los prueba en un simulador, un soporte especial que emula las funciones industriales cr\u00edticas.<\/p>\n

Esta plataforma se compone de una configuraci\u00f3n de la red TO dada, que enciende los mismos tipos de dispositivos utilizados en un proceso industrial (computadoras, PLC, sensores, equipos de comunicaciones, paquete del IdC) y los hace interactuar entre s\u00ed para replicar su fabricaci\u00f3n u otro proceso industrial. En la terminal de entrada de la plataforma hay una muestra del software probado, que comienza a ser observado por un sandbox<\/a>, el cual registra todas las acciones, observa las respuestas de los nodos de la red, los cambios en su desempe\u00f1o, la accesibilidad de las conexiones y muchas otras caracter\u00edsticas at\u00f3micas. Los datos que se recopilan de esta manera permiten construir un modelo que describe los riesgos del nuevo software, que a su vez permite tomar decisiones informadas sobre si introducir o no este nuevo software y tambi\u00e9n qu\u00e9 se debe hacer con la OT para cerrar las vulnerabilidades descubiertas.<\/p>\n

Espera, aqu\u00ed la cosa se pone interesante\u2026<\/p>\n

Literalmente cualquier cosa puede ser probada en la terminal de entrada, no solo el nuevo software y las actualizaciones que se implementar\u00e1n. Por ejemplo, puedes probar la resiliencia contra programas maliciosos que sortean los medios de protecci\u00f3n externos y penetran en una red industrial protegida.<\/p>\n

Esta tecnolog\u00eda tiene mucho potencial en el campo de los seguros, ya que permite a las compa\u00f1\u00edas juzgar mejor los riesgos cibern\u00e9ticos para calcular de una forma m\u00e1s precisa las primas, mientras que los asegurados no pagar\u00e1n de m\u00e1s sin raz\u00f3n. Adem\u00e1s, los fabricantes de equipos industriales podr\u00e1n utilizar la plataforma de prueba para la certificaci\u00f3n de software y hardware de otros desarrolladores. Si aterrizamos m\u00e1s este concepto, dicho esquema tambi\u00e9n se adaptar\u00eda a los centros de acreditaci\u00f3n espec\u00edficos de la industria, \u00a1por no hablar del potencial de investigaci\u00f3n en las instituciones educativas!<\/p>\n

Pero por ahora, volvamos a la plataforma original\u2026<\/p>\n

No hace falta decir que ninguna emulaci\u00f3n puede reproducir con un 100 % de precisi\u00f3n la variedad completa de procesos en las redes TO. No obstante, de acuerdo con el modelo que construimos tomando en cuenta nuestra vasta experiencia, ya sabemos d\u00f3nde podremos encontrar \u201csorpresas\u201d despu\u00e9s de presentar un nuevo software. Adem\u00e1s, podemos controlar la situaci\u00f3n de manera confiable con otros m\u00e9todos, por ejemplo, con nuestro sistema de alerta temprana de anomal\u00edas, MLAD<\/a> (sobre el cual ya escrib\u00ed aqu\u00ed<\/a> con detalle), que puede identificar problemas en secciones espec\u00edficas de una operaci\u00f3n industrial en funci\u00f3n de correlaciones directas y hasta indirectas. Esto podr\u00eda evitar la p\u00e9rdida de millones, si no es que miles de millones de d\u00f3lares debido a los incidentes.<\/p>\n

Entonces, \u00bfqu\u00e9 impide que la gente de la TO compita para adoptar nuestro modelo de plataforma?<\/p>\n

Bueno, hasta ahora, debido a que son tan conservadores, tal vez no est\u00e9n buscando una soluci\u00f3n como la nuestra de forma activa, ya que quiz\u00e1 no la creen necesaria (!). Por supuesto que haremos todo lo posible para promover esta tecnolog\u00eda y ahorrar millones a la industria, mientras tanto, d\u00e9jenme a\u00f1adir algo: nuestro modelo de soporte, aunque complejo, se asentar\u00e1 r\u00e1pidamente si es adoptado por una gran industria u organizaci\u00f3n infraestructural. Y no es un modelo de suscripci\u00f3n ni nada por el estilo: pagas una vez y te protege durante a\u00f1os sin inversi\u00f3n adicional (minimizando los riesgos regulatorios, reputacionales y operativos). Ah, tambi\u00e9n proteger\u00e1 el estado emocional de la gente de la TO\u2026 o su cordura.<\/p>\n","protected":false},"excerpt":{"rendered":"

Toda la informaci\u00f3n sobre la protecci\u00f3n y actualizaci\u00f3n de la infraestructura TO.<\/p>\n","protected":false},"author":13,"featured_media":25604,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[2795,3539,3540],"tags":[2644,5839,5837,5838,20],"class_list":{"0":"post-25602","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-business","8":"category-enterprise","9":"category-smb","10":"tag-ics","11":"tag-mlad","12":"tag-tecnologia-operativa","13":"tag-to","14":"tag-virus"},"hreflang":[{"hreflang":"es-mx","url":"https:\/\/latam.kaspersky.com\/blog\/updating-ot-infrastructure\/25602\/"},{"hreflang":"en-in","url":"https:\/\/www.kaspersky.co.in\/blog\/updating-ot-infrastructure\/24942\/"},{"hreflang":"en-ae","url":"https:\/\/me-en.kaspersky.com\/blog\/updating-ot-infrastructure\/20439\/"},{"hreflang":"ar","url":"https:\/\/me.kaspersky.com\/blog\/updating-ot-infrastructure\/10478\/"},{"hreflang":"en-us","url":"https:\/\/usa.kaspersky.com\/blog\/updating-ot-infrastructure\/27499\/"},{"hreflang":"en-gb","url":"https:\/\/www.kaspersky.co.uk\/blog\/updating-ot-infrastructure\/25272\/"},{"hreflang":"es","url":"https:\/\/www.kaspersky.es\/blog\/updating-ot-infrastructure\/28159\/"},{"hreflang":"it","url":"https:\/\/www.kaspersky.it\/blog\/updating-ot-infrastructure\/27424\/"},{"hreflang":"ru","url":"https:\/\/www.kaspersky.ru\/blog\/updating-ot-infrastructure\/34311\/"},{"hreflang":"x-default","url":"https:\/\/www.kaspersky.com\/blog\/updating-ot-infrastructure\/46467\/"},{"hreflang":"fr","url":"https:\/\/www.kaspersky.fr\/blog\/updating-ot-infrastructure\/19830\/"},{"hreflang":"pt-br","url":"https:\/\/www.kaspersky.com.br\/blog\/updating-ot-infrastructure\/20453\/"},{"hreflang":"de","url":"https:\/\/www.kaspersky.de\/blog\/updating-ot-infrastructure\/29576\/"},{"hreflang":"ja","url":"https:\/\/blog.kaspersky.co.jp\/updating-ot-infrastructure\/33951\/"},{"hreflang":"nl","url":"https:\/\/www.kaspersky.nl\/blog\/updating-ot-infrastructure\/28791\/"},{"hreflang":"ru-kz","url":"https:\/\/blog.kaspersky.kz\/updating-ot-infrastructure\/25628\/"},{"hreflang":"en-au","url":"https:\/\/www.kaspersky.com.au\/blog\/updating-ot-infrastructure\/31318\/"},{"hreflang":"en-za","url":"https:\/\/www.kaspersky.co.za\/blog\/updating-ot-infrastructure\/31027\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/latam.kaspersky.com\/blog\/tag\/ics\/","name":"ICS"},"_links":{"self":[{"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/posts\/25602","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/users\/13"}],"replies":[{"embeddable":true,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/comments?post=25602"}],"version-history":[{"count":1,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/posts\/25602\/revisions"}],"predecessor-version":[{"id":25605,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/posts\/25602\/revisions\/25605"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/media\/25604"}],"wp:attachment":[{"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/media?parent=25602"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/categories?post=25602"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/tags?post=25602"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}