Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

¿Qué esperar de la ciberseguridad industrial en 2023?

Fecha de publicación 26/01/2023
Autor
INCIBE (INCIBE)

En el año 2022 y tal como se ve reflejado en nuestro artículo de La ciberseguridad industrial de 2022 en cifras, los ciberataques en todos los sectores industriales han aumentado alrededor de un 30% en el tercer trimestre del 2022, y se estima que el número de organizaciones o fabricantes industriales, víctimas de un ciberataque, rondó el 40% en el último año.

El futuro es incierto y más en cuanto a los ataques al sector industrial se refiere, pero lo que sí debe quedar claro es que las ciberamenazas van a seguir creciendo y evolucionando, por lo tanto es necesario y recomendable continuar evolucionando métodos defensivos que proporcionen a las organizaciones, ya no solo del sector industrial, sino de todos los sectores, la capacidad de defenderse.

Este artículo se centra en las predicciones de seguridad industrial del 2023 con ánimo de aportar una visión global sobre cómo puede ser el futuro, lo que podemos esperar y cómo podemos prepararnos ante ello.

Top predicciones en ciberseguridad industrial para el 2023

Se puede postular que en 2023 se producirá un crecimiento global en el número de ciberataques en el sector industrial. El pronóstico indica que se avecina una era de tensiones geopolíticas y que los factores macroeconómicos determinarán en gran medida las amenazas para empresas industriales e infraestructuras OT.

Estas predicciones englobarán vectores de ataque motivados por el aumento de la digitalización, actividades de ciberdelincuencia de los propios empleados de las empresas y ataques ransomware sobre infraestructuras críticas. 
A continuación, se enumeran y explican un top 10 predicciones en ciberseguridad industrial para el 2023:

  • Nuevos riesgos y cambios generales en las amenazas: a lo largo del 2023, se puede predecir un cambio en las amenazas avanzadas persistentes (APT) contra diferentes organizaciones del sector industrial. Los objetivos tradicionales, como los militares y los gubernamentales seguirán en el punto de mira. La digitalización en áreas, como IIoT y Smart, ha supuesto un incremento en las posibilidades de ataque y además, la aparición, en el sector, de los gemelos digitales y los sistemas predictivos, ha aumentado aún más la superficie de exposición ante ataques.
  • Aumento de los precios, tanto en energía, como en hardware: debido a las inestabilidades geopolíticas, el aumento en los precios supondrá un riesgo evidente para la ciberseguridad. Esto ya se ha podido comprobar en 2022 y, en este nuevo año, se estima un mayor aumento en los precios, lo que puede llegar a derivar en desestimar la mejora, implementación o actualización de sistemas de seguridad industrial debido a los altos costes. Un ejemplo son los sistemas de gestión de mantenimiento computarizados (CMMS), que han sufrido una gran cantidad de ataques en el 2022 y se prevé que en 2023 aumenten aún más.
- Los diez países con mayor porcentaje de ataques a CMMS en el primer trimestre. Fuente:Kaspersky -
  • Rápida migración a la nube: a lo largo de los últimos años, se ha realizado por parte de las empresas una rápida migración a la nube para buscar la integración de los nuevos métodos de trabajo en los sistemas ya integrados por parte de las empresas del sector industrial. La utilización de diferentes proveedores para los servicios en la nube derivará en una inconsistencia sistemática y a su vez en diferentes problemas de seguridad. Tanto la gestión de estos procesos, como la configuración por parte de los desarrolladores y usuarios para las aplicaciones industriales en la nube, puede suponer un riesgo para la seguridad, ya que el principal objetivo no es defender el sistema ante posibles ataques, sino la adopción masiva de los sistemas locales y el desarrollo de las aplicaciones.
  • La ingeniería social, una amenaza continua en el tiempo: en 2023, las amenazas de ingeniería social seguirán siendo uno de los principales riesgos para las empresas del sector OT, ya que mayoritariamente tienen alguna relación con entornos IT. Estas amenazas se verán adaptadas al nuevo entorno de trabajo híbrido, siendo este un punto de acceso para los atacantes hacia la empresa. El correo electrónico seguirá siendo el eje central para este tipo de amenazas y la securización del mismo y las campañas de concienciación por parte de las empresas será un punto imprescindible en los planes de seguridad. También, aumentarán considerablemente los casos de vishing.
- Ataque por ingeniería social -
  • Aumentará el perímetro de la empresa: tal y como se introduce en el punto anterior, la aparición y el afianzamiento del método de trabajo híbrido, puede derivar en graves problemas de seguridad si las conexiones remotas no se hacen de forma segura. 
  • La adopción de MFA como objetivo principal: los ataques irán dirigidos contra los usuarios de autenticación multifactor (MFA). En el caso de los SCI, la mayoría de los accesos de importancia requieren ya de este método de autenticación para garantizar la seguridad y el acceso. Es por ello, los ciberatacantes buscarán nuevas formas de evitar estos mecanismos de seguridad, adaptando sus ataques de credenciales dirigidos. Se prevé que en 2023 surjan diferentes vulnerabilidades MFA y técnicas de elusión. Sin embargo, y volviendo a la ingeniería social, será esta, la principal técnica que utilizarán los atacantes para vulnerar este proceso de autenticación. Existen diferentes formas de vulnerar un MFA sin romper la autenticación multifactor:
    • Bombardeo automático: agotamiento al usuario con solicitudes de aprobación para que finalmente haga clic en un enlace malicioso.
    • Nuevas técnicas de adversario en el medio (AitM): se incluirá el proceso MFA para así poder capturar tokens de sesión de autenticación cuando el usuario realice un inicio de sesión legítimo.
  • La selección de proveedores más crítica: con el aumento y riesgo de ataques a la cadena de suministro, los sistemas industriales buscarán elevar las exigencias mínimas en los criterios de selección de los proveedores.Se considera que en 2023, la necesidad por parte de las empresas industriales de que sus proveedores tengan factores como la resistencia cibernética, evaluaciones de vulnerabilidad y capacidad para asegurar los dispositivos, serán vitales en los procesos de selección de proveedores.
  • Los ataques centrados en las infraestructuras industriales: la mayor parte de los ataques en este 2023 se centrarán en uno de los puntos más críticos de cualquier sociedad, sus infraestructuras industriales productoras de energía. Los SCI serán el foco principal, ya que el objetivo de los ciberatacantes serán estos sistemas controladores de fábricas e infraestructuras civiles.
  • El ransomware se estanca, pero surge el ataque sigiloso: en el último año, la tendencia exponencial del ransomware ya no es tan pronunciada, pero si se ha visto un aumento significativo en el llamado ataque sigiloso. En el 2023, los actores de amenazas comenzarán a utilizar software y técnicas sigilosas para robar datos a las víctimas. Esta nueva técnica, tiene de contraste con el ransomware, que la información robada en cualquier empresa puede ser vendida o aprovechada directamente mientras, el atacante permanece oculto sin chantajes ni pedir nada a cambio. Esto es de vital importancia, sobre todo en el sector industrial, ya que el robo sigiloso de información para ser vendida o utilizada para detener el proceso industrial puede suponer grandes consecuencias. Es por ello, que, las empresas del sector deberán aumentar considerablemente la capacidad de gestión y detección de la superficie de ataque en torno a sus activos críticos.
  • Cambios en el marco regulatorio: existen diferentes legislaciones sobre ciberseguridad. En 2023, la mayor parte de las empresas del sector industrial, buscarán tener sus equipos adecuados a unos mínimos regulatorios. La fase de aplicación de las normativas se verá impulsada, además se requerirá una actualización de muchas normativas:
    • NIS 2: esta directiva sustituirá a su versión anterior, la NIS (Network and Information System). Se impondrán medidas de supervisión e información más estrictas.
    • Proyecto de Ley Europea de Ciberresilencia (CRA): tras su aceptación, esta ley europea permitirá establecer requisitos obligatorios de ciberseguridad para equipos y productos con elementos digitales.
    • El Reglamento Delegado de la UE que complementa la Directiva sobre Equipos Radioeléctricos (RED) se aplicará a partir de agosto de 2024, haciendo obligatoria la ciberseguridad para todos los equipos inalámbricos.
    • NIST 8270: esta normativa hace referencia a las operaciones comerciales por satélite. En 2023, se prevé un aumento de los ataques al entorno satelital. Está previsto que en el primer trimestre de 2023, la NIST haga una actualización de dicha normativa.

En la siguiente ilustración, se hace un resumen gráfico de las predicciones en 2023:

- Resumen gráfico top 10 predicciones 2023 -

Conclusión

Como conclusión general, cabe destacar que a lo largo de este 2023 va a haber un crecimiento exponencial de los ciberataques, siendo los sistemas industriales el foco principal de dichos ataques junto con los equipos de nueva generación, instalados en los centros médicos. 

Estas predicciones pueden ayudar a las diferentes empresas a prepararse para lo que está por venir en este año y mejorar sus defensas centrándose en las predicciones anteriormente mencionadas, pudiendo así mitigar o evitar posibles ciberataques a sus infraestructuras.

Por otra parte, los cambios en diferentes marcos regulatorios serán muy importantes, ya que su cumplimiento será básico para cualquier empresa del sector industrial evitando así posibles ataques y también posibles sanciones por incumplimiento.