El 38% de las vulnerabilidades de OT comprometen las credenciales de acceso

Recomendados:  Claves de seguridad para las nuevas aplicaciones web y API. Ebook Protegiendo los datos corporativos en aplicaciones basadas en cloud. Leer

Las redes OT (Operational Technologies), que tradicionalmente solían ser conocidas como redes aisladas, están cada vez más interconectadas en la red de la empresa, con acceso a internet y a la red TI. Esta interconexión lleva aparejado que estén también más expuestas a las amenazas que vulneran las redes corporativas.

Las redes OT actuales se interconectan para permitir el acceso remoto, el mantenimiento preventivo o la integración con sistemas ERP, por citar algunos casos. Sin embargo, estas redes no suelen estar tan bien segmentadas, al no utilizar firewalls, listas de control de acceso y otras medidas, de modo que se permiten comunicaciones no deseadas entre distintos segmentos y las amenazas pasan de un dominio a otro.

A la situación anterior se suma el hecho de que cuando un atacante llega a la red, suele ser bastante fácil comprometer los dispositivos OT debido a que estos productos, con su larga vida útil, su naturaleza a menudo propietaria y las exigencias de compatibilidad con versiones anteriores, tienden a mantener características inseguras por diseño durante mucho tiempo. De hecho, Forescout ha dado a conocer un informe elaborado por Vedere Labs, que señala que su equipo de investigadores ha detectado hasta 56 vulnerabilidades, de las cuales más de un tercio (un 38%) permiten comprometer las credenciales de acceso; en segundo término, se sitúan las vulnerabilidades asociadas a la manipulación del firmware, que suponen el 21%, seguidas de las de ejecución remota de código (RCE) que alcanza un 14%.

Las vulnerabilidades registradas se dividen en cuatro categorías principales: inseguridad de protocolos de ingeniería, criptografía débil o esquemas de autenticación comprometidos, actualizaciones de firmware inseguras y ejecución remota de código a través de funcionalidad nativa.

Evolución de los ataques dirigidos a OT

Los ataques dirigidos a OT suelen utilizar protocolos específicos de este ámbito y características nativas para llevar a cabo sus actividades. Entre los programas maliciosos que utilizan estas técnicas se encuentra Industroyer, que se utilizó para causar el apagón de Ucrania en 2016, y su variante más reciente, Industroyer2, ha sido hallada en Ucrania en 2022. También está TRITON, que se dirigió a los sistemas de seguridad industrial en Oriente Medio en 2017, e INCONTROLLER, un kit de herramientas APT que tiene como objetivo varios dispositivos OT de Omron y Schneider Electric. Aprovechar las capacidades nativas que son inseguras por diseño en los equipos OT son el modus operandi preferido de los atacantes.

Por otra parte, el informe de Vedere Labs identifica un cambio de tendencia en las vulnerabilidades "inseguras por diseño". Hace sólo unos años, a algunas vulnerabilidades bien conocidas no se les asignaba un identificador CVE porque se asumía que todo el mundo sabía que los protocolos OT eran inseguros. Por el contrario, desde Forescout consideran que un CVE es un marcador reconocido por la comunidad que ayuda a la visibilidad de la vulnerabilidad y permite la posibilidad de actuar, ya que facilita a la fuerza comercial la solución de problemas y a los propietarios de los activos el evaluar los riesgos y aplicar parches.

Además de la monitorización de la red, Vedere Labs propone mitigaciones que incluyan el aislamiento de las redes OT/ICS de las redes corporativas y de Internet, limitar las conexiones de red sólo a las estaciones de trabajo de ingeniería específicamente permitidas y centrarse en la reducción de las consecuencias cuando sea posible.