Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Incidentes de seguridad, ¿realmente hemos aprendido del pasado?

Fecha de publicación 31/05/2019
Autor
INCIBE (INCIBE)
incidentes pasados

A lo largo de los últimos años, hemos sido testigos de cómo los sistemas de control industrial (SCI) han pasado a ser también objetivo de ciberataques por parte de usuarios malintencionados. Tradicionalmente aislados, los entornos SCI han evolucionado hacía una convergencia con los entornos corporativos, que ha supuesto un incremento en la optimización y reducción de costes, pero también una mayor exposición de estos entornos.

En este artículo, haremos un repaso de los vectores de ataque empleados por los principales incidentes de ciberseguridad acontecidos en entornos SCI, para comprobar si hoy en día nuevas amenazas podrían reutilizar los mismos vectores de infección.

Vectores de ataque de los principales incidentes

Spear-phishing

Durante la historia hemos podido comprobar cómo la principal vía de infección empleada por los atacantes para conseguir acceso a los equipos es infectarlos mediante campañas dirigidas de spear-phishing a sus víctimas. El spear-phishing es un tipo de phishing especialmente diseñado para engañar a la potencial víctima, en el que se suplanta una fuente de confianza, tras un estudio previo de la víctima, para obtener sus credenciales o infectar sus equipos con malware.

Memorias USB infectadas con malware

Otro de los métodos utilizados por los atacantes, a lo largo de la historia de los incidentes ocurridos en entornos industriales, es el uso de memorias USB infectadas con malware. Los atacantes consiguieron engañar a los usuarios para que conectasen un dispositivo USB con el malware a sus equipos, de manera que una vez conectada la memoria USB, el malware se instalaba dentro del equipo y comenzaba a ejecutarse.

Watering hole

Otro de los métodos principales empleados por los atacantes para comprometer los entornos industriales es el conocido como ataque de watering hole. Esta técnica consiste en comprometer servidores web externos visitados habitualmente por la víctima objetivo del ataque, de manera que al navegar por ellos, se infecte con el malware.

 

SPEAR-PHISHING

MEMORIAS USB INFECTADAS

WATERING HOLE

NIGHT DRAGON (2009)

?

?

?

STUXNET (2010)

?

?

?

DUQU (2011)

?

?

?

FLAME (2012)

?

?

?

SHAMOON (2012)

?

?

?

DRAGONFLY (2013)

?

?

?

BLACKENERGY (2015)

?

?

?

CRASHOVERRIDE (2016)

?

?

?

TRITON/TRISIS (2017)

?

?

?

GREYENERGY (2018)

?

?

?

OPERACIÓN SHARPSHOOTER (2018)

?

?

?

- Vectores de ataque empleados por los principales incidentes -

Puntos en común de los vectores de ataque

Como podemos observar, los tres principales vectores poseen varios puntos en común.

Por un lado, todos tienen un componente social, en los que se realiza un estudio previo del perfil e ingeniería social sobre la víctima, para obtener un enfoque más específico y dirigido para su infección.

Por otro parte, todos estos ataques tienen en común que son de una complejidad mayor que otros ataques, lo que se conoce como APT.

También podemos añadir que todos aprovecharon una falta de concienciación de seguridad de los usuarios, ya que consiguieron que conectasen un dispositivo USB o que abrieran un documento malicioso para introducirse en la red que deseaban atacar.

Aprendiendo del pasado, medidas de protección

No podemos corregir los errores del pasado, pero si podemos aprender de ellos y protegernos, velando por que no vuelvan a repetirse en el futuro De los incidentes de seguridad también podemos extraer una serie de lecciones/medidas de protección que son de aplicación para reducir las posibilidades de sufrirlos de nuevo en un futuro.

Por un lado, es recomendable que todos los empleados de cualquier organización reciban formación en materia de concienciación en ciberseguridad para evitar o reducir la probabilidad de que sean víctimas de ataques de ingeniería social ya que, como hemos visto, los vectores de ataque más frecuentes hacen uso de ella para aprovecharse del eslabón más débil: las personas.

También, y como ya comentamos en el artículo Dispositivos extraíbles en entornos industriales: amenazas y buenas prácticas, es recomendable seguir una serie de buenas prácticas en el uso de dispositivos USB para evitar que sean utilizados como vector de ataque. Adicionalmente, siempre es recomendable el despliegue de kioskos para el análisis de dispositivos USB antes de su conexión a cualquier equipo.

Otro punto importante que se debe tener en cuenta es que, una vez infectados los equipos por cualquiera de las amenazas comentadas anteriormente, los distintos tipos de malware suelen hacer uso de vulnerabilidades (no siempre conocidas) para su propagación, las cuales normalmente ya se encuentran solucionadas en las últimas versiones de los parches. Por ello, aunque no es una tarea sencilla, el parcheo de los equipos es también de vital importancia. A veces, no siempre se puede implementar este parcheo, por eso se han desarrollado tecnologías como el parcheo virtual que protegen a los equipos de manera que, desde el punto de vista del usuario, el equipo se encuentra parcheado con las últimas actualizaciones.

Otra medida de protección importante es el uso de antivirus. Siempre que sea posible es recomendable la instalación de una de estas soluciones, los cuales nos van a permitir detectar esos ficheros maliciosos utilizados en los ataques. Como ya hemos visto anteriormente, mantener actualizados los antivirus no es tarea sencilla en los sistemas de control, aunque actualmente están apareciendo soluciones de nueva generación de antivirus que utilizan machine learning para la detección de malware y que no necesitan actualizaciones constantes, ya que no hacen uso de las bases de firmas.

Por último, si todas las medidas de protección implementadas fallan, poseer un centro de respuesta a incidentes o SOC-OT, que emplee las nuevas tecnologías para la monitorización de redes en sistemas de control industrial, ayudará a la hora de detectar, gestionar y mitigar correctamente un incidente que esté ocurriendo en nuestras instalaciones. Muchas veces, detectar un incidente a tiempo es de vital importancia para reducir su impacto o incluso mitigarlo completamente.

Conclusiones

La seguridad total de cualquier organización es un objetivo muy difícil de alcanzar, pero lo que sí se puede conseguir es reducir al máximo las probabilidades de recibir un ciberataque.

Como hemos podido observar, el factor humano es siempre una de las claves para la entrada de malware, por tanto, podemos concluir que la mayoría de los incidentes de seguridad podrían ser evitados. Si no queremos repetir los errores del pasado, todos los usuarios de la compañía deberían recibir una formación básica en materia de ciberseguridad, de manera que tengan conocimiento de una serie de buenas prácticas básicas para evitar caer en la trampa de los atacantes.

Por último, hay que recordar que no siempre vamos a poder evitar ser víctimas de un ciberataque, por lo que debemos estar listos para detectarlo, detenerlo y recuperarnos del mismo de la manera más rápida y eficiente posible.

Etiquetas