Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

La seguridad industrial de 2023 en cifras

Fecha de publicación 18/01/2024
Autor
INCIBE (INCIBE)
Foto decorativa con motivos estadísticos

Desde INCIBE-CERT se ha continuado trabajando a lo largo de todo el año 2023 en los servicios de alerta temprana y avisos en materia de ciberseguridad. Específicamente, en la sección de avisos SCI, donde se han publicado diferentes avisos relacionados con los Sistemas de Control Industrial y el mundo del Internet de las Cosas en entornos industriales (IIoT). Este servicio específico se creó hace ocho años con el objetivo de proporcionar a todas las empresas del sector industrial un medio donde consultar información sobre las vulnerabilidades más recientes que pueden tener sus dispositivos, para poder así aplicar las medidas de mitigación oportunas, que aportan los fabricantes de los productos afectados o a partir de documentación de buenas prácticas en la configuración de dispositivos, segmentación de redes, etc.

Esta información, además de encontrarse disponible vía web y por RRSS, puede consultarse a través de un boletín, con el cual los usuarios se pueden informar de todas las vulnerabilidades que afectan a dispositivos, software y otros elementos de fabricantes industriales.

Adicionalmente a esta publicación diaria del sistema de alerta temprana y de avisos para Sistemas de Control Industrial, INCIBE, a través de INCIBE-CERT, ha continuado con la difusión de la ciberseguridad sobre este tipo de sistemas, publicando contenidos específicos en el blog y también a través de diferentes guías y estudios.

Número de avisos publicados por mes durante 2023

- Número de avisos publicados por mes durante 2023. -

Echando un vistazo al trabajo desarrollado a lo largo de 2023, se observa la publicación de 317 avisos relacionados con el sector industrial, los cuales abarcan desde dispositivos del mundo IoT a otros más tradicionales del mundo industrial, además de avisos relacionados con aplicaciones (de escritorio, web, aplicaciones para móviles, etc.), elementos de comunicación de este entorno y otros temas. Es importante matizar que un mismo aviso puede tener varias vulnerabilidades, como veremos más adelante, pero en esta gráfica solo se encuentran contabilizados los avisos.

El ritmo constante de publicación de vulnerabilidades podría deberse a los continuos reportes que realizan los investigadores en materia de ciberseguridad industrial y al aumento de la sensibilización en este ámbito, por parte de las empresas industriales.

Clasificación por sectores

Respecto a los sectores implicados, se puede observar que se han producido avisos que han afectado a casi todos los sectores estratégicos definidos en la Ley de Protección de Infraestructuras Críticas (Ley 8/2011), tal y como refleja el siguiente gráfico.

Evolución de avisos por sector. El sector energía, al igual que en años anteriores, el más afectado (excluyendo ‘otra industria’, que no es un sector propiamente).

- Evolución de avisos por sector. El sector energía, al igual que en años anteriores, el más afectado (excluyendo ‘otra industria’, que no es un sector propiamente). -

Al igual que en años anteriores, la mayor parte de los avisos publicados se relacionan con dispositivos multipropósito. Esto significa que un único aviso, además de contener diferentes vulnerabilidades, puede afectar a diferentes sectores, siendo el sector denominado ‘otra industria’ el más numeroso.

De igual forma, es importante resaltar que los sectores que aglutinan más avisos no tienen por qué ser más inseguros, ya que existen otros factores, como la cantidad de dispositivos, fabricantes y procesos que se utilizan de forma más cotidiana en cada sector. Por ejemplo, el sector energía es el sector más afectado por los avisos, ya que, prácticamente, todos los procesos implicados en este sector son utilizados de forma constante, y en muchas ocasiones, otros sectores se apoyan en el de energía para lograr dar servicio.

Naturaleza de los avisos

La catalogación de las vulnerabilidades analizadas en cada aviso se ciñe a los diferentes tipos de vulnerabilidades descritas en la lista CWE (Common Weakness Enumeration). En dicha lista, se reflejan prácticamente todas las vulnerabilidades que pueden afectar a diferentes activos, incluyendo una breve descripción de cada una.

Las vulnerabilidades más destacadas y que afectan a dispositivos relacionados con el mundo industrial en 2023 son:

Naturaleza de vulnerabilidades 2023 (top 10)

- Naturaleza de vulnerabilidades 2023 (top 10). Téngase en cuenta que un aviso puede estar relacionado con varias vulnerabilidades. -

Este año, las vulnerabilidades más comunes incluyen la validación incorrecta de parámetros de entrada, la autenticación incorrecta, y el Cross-Site Scripting (XSS), lo cual pone en evidencia la necesidad de seguir buenas prácticas durante el desarrollo de software industrial. Además, muchas de estas vulnerabilidades se han transmitido desde el mundo de TI, por lo que es posible seguir ejemplos de desarrollo para evitar cometer los mismos errores.

Además, como en años anteriores, las vulnerabilidades relacionadas con lecturas fuera de límite y el consumo de recursos no controlado siguen estando muy presentes, las cuales pueden permitir a un atacante detener el funcionamiento del software o dispositivo de forma temporal.

Otro aspecto a considerar al examinar el gráfico sobre la naturaleza de las vulnerabilidades en 2023 es la explotación de vulnerabilidades relacionadas con los servicios web. En la actualidad, muchos dispositivos industriales que están integrados en redes industriales tienen un servidor web mediante el cual ofrecen una interfaz más intuitiva para el operador y permiten realizar acciones que pueden ser importantes para el correcto funcionamiento del proceso en el que el dispositivo esté involucrado.

Fabricantes

El listado de fabricantes más relacionados con los avisos cambia mínimamente con respecto a los años anteriores. Los grandes líderes en productos de Sistemas de Control Industrial siguen siendo los más expuestos y, por tanto, sobre los que más avisos se publican.

Número de avisos publicados por fabricantes

- Número de avisos publicados por fabricantes. -

En lo que respecta a los primeros puestos, Rockwell Automation y Mitsubishi Electric comparten los primeros puestos con 20 y 15 avisos respectivamente cada uno, seguidos por ABB y Siemens con 12 cada uno. A su vez, estos, están muy seguidos de cerca por varios fabricantes, siendo un total de siete los que superan la decena de avisos.

Una gran cantidad de avisos por fabricante no significa que dicho fabricante sea el más vulnerable, sino que puede que estos inviertan más esfuerzo en realizar investigaciones de seguridad o que muchos investigadores independientes tengan acceso a un dispositivo de las múltiples familias que tienen, al ser los más extendidos.

Clasificación por criticidad

La clasificación de los avisos de 2023, según su criticidad, es muy similar a la presentada en los resúmenes de años anteriores, con la diferencia de que INCIBE-CERT se ha centrado exclusivamente en los avisos de criticidad media, alta y crítica debido, principalmente, a que los avisos de estas criticidades pueden ser muy perjudiciales para las empresas. Esto nos vuelve a recordar que hay que reforzar la protección de los sistemas de control, pues las vulnerabilidades que se reportan en ellos pueden suponer un gran trastorno para la empresa y graves consecuencias en el proceso productivo.

Clasificación de avisos, en media, alta y crítica

- Clasificación de avisos. -

Incibe como CNA

A lo largo de este año, INCIBE, en su papel como CNA en la asignación y publicación de identificadores CVE, ha coordinado y publicado un total de 164 CVE de 68 fabricantes distintos, los cuales corresponden a 71 reportes.

A su vez, los tipos más comunes de vulnerabilidad reportadas o CWE, son los siguientes:

  • CWE-79: neutralización inadecuada de la entrada durante la generación de la página web (Cross-Site Scripting).
  • CWE-89: neutralización incorrecta de los elementos especiales utilizados en un comando SQL (inyección SQL).

En lo que respecta a los CVE coordinados, junto a los CNA adheridos a INCIBE Root (ZGR, Ártica PFMS, Alias Robotics y KrakenD), entre los 4 CNA, se han publicado un total de 24 CVE a lo largo del año.

Conclusión

En resumen, el año 2023 ha continuado con la tendencia de años anteriores ya que el número de vulnerabilidades detectadas y de avisos emitidos ha crecido. Asimismo, las criticidades de las vulnerabilidades encontradas no han variado mucho y los grandes fabricantes industriales siguen a la cabeza en cuanto a la cantidad de avisos publicados.

De todos modos, el 2023 nos ha dejado ciertos aspectos a considerar y que podrían ser relevantes en el futuro, como que, a pesar de que los grandes fabricantes industriales lideran la publicación de avisos, los pequeños fabricantes empiezan a seguir sus pasos, contando con este tipo de publicaciones tal y como se puede observar en el crecimiento del número de avisos por parte de ‘Otros’ en la Ilustración 4 (Número de avisos publicados por fabricantes).