Las 10 brechas de ciberseguridad de las pymes industriales.
La ciberseguridad ha adquirido un rol determinante en la fabricación industrial. La celeridad del progreso tecnológico ha colocado en un lugar muy destacado a las medidas que protegen los ordenadores, los servidores, los sistemas electrónicos, las redes y los datos de las empresas industriales o aquellas vinculadas con la producción de bienes y servicios.
La conectividad de las plantas con sus cadenas de suministro es una realidad cada vez más frecuente, que exige procedimientos y protocolos de actuación que eviten ataques e incidentes. Sin embargo, en lo referente a las pymes industriales, todavía queda mucho camino por recorrer.
Teniendo en cuenta que los vectores de los ciberataques están precisamente sujetos a esos cambios relacionados con los avances tecnológicos y que los ciberdelincuentes pueden -y suelen- utilizar varios de estos vectores en cada ataque, estas son las brechas de seguridad más frecuentes en la actualidad, brechas perfectamente aplicables al mundo de la industria:
1. Correo electrónico y mensajería instantánea: Por ejemplo, los correos y SMS de phishing que suplantan a organizaciones conocidas por el receptor, como bancos, empresas de paquetería, la Agencia Tributaria, proveedores y clientes, o el soporte técnico de la empresa, para engañarle con diversos señuelos a seguir enlaces a páginas web falsas donde le pedirán introducir sus credenciales o descargar adjuntos maliciosos que instalan malware. Es muy frecuente que se trate de ransomware, es decir, el malware que bloquea los datos a cambio de un rescate. En otros casos, el malware convierte a los dispositivos en zombis a su servicio para lanzar ataques a terceros o para otros fines poco éticos.
2. Navegación web: Navegar por la red puede ser una tarea arriesgada por falta de actualización de los navegadores, por la instalación de plugins maliciosos, o por visitar páginas fraudulentas. Ante navegadores no actualizados, los ciberdelincuentes pueden explotar vulnerabilidades con técnicas como: drive - by download, que permite la descarga de malware sólo con visitar una página maliciosa o ver un correo html; browser in the browser, que simula una ventana emergente de autenticación, donde nos pedirán las credenciales.
También puede que el usuario llegue en sus búsquedas, o por otros medios, a seguir enlaces que descargan malware o llevar a páginas de phishing. Los ciberdelincuentes suplantan webs legítimas copiándolas y poniéndoles direcciones web similares con homógrafos o enlaces que se parecen a las reales cambiando algún carácter que a la vista no es fácil distinguir.
3. Endpoints o terminales y otros dispositivos en los que no se han configurado las opciones de seguridad lo que los deja vulnerables. Las configuraciones de los fabricantes por defecto son, en muchos casos, poco seguras. Por ejemplo, si usan contraseñas débiles o si permiten que se conecten USB o discos extraíbles, estos podrían llevar programas malignos. Otras veces son configuraciones incompletas o insuficientes de las redes a las que pertenecen esos dispositivos y permiten el acceso a ellos y su manipulación. Un caso particular son los dispositivos IoT (Internet de las Cosas).
4. Aplicaciones web, portales corporativos, intranets y redes sociales con configuraciones defectuosas o desactualizadas pueden suponer una vía de entrada o bien una forma de dar información al ciberdelincuente para posteriores ataques. Por ejemplo, si contienen o se muestra demasiada información sobre la estructura de la empresa, direcciones de correo o detalles de sus empleados, eso podría ser utilizado en ataques de spear phishing, el phishing dirigido a una persona específica de la que antes han recopilado información para hacer más creíble el engaño. Si la empresa posee una página o aplicación web, ha de tener en cuenta la ciberseguridad en su diseño y en su mantenimiento para evitar ataques como los de inyección SQL (intrusión, entre otros). Es vital proteger las credenciales de acceso y los mecanismos de autenticación, tanto para usuarios como para administradores.
Un caso particular es el de las aplicaciones de video llamada y otras herramientas colaborativas, que han de actualizarse y regular su uso para evitar ataques.
El auge de las aplicaciones en la nube fomenta que estas estén siendo utilizadas como vectores de ataques cibernautas. Al contratarlas hay que analizar quién es responsable de mantener actualizados los sistemas, si el proveedor o el cliente. También es preciso revisar qué aplicaciones de este tipo se permiten en la empresa y regular su uso. Por ejemplo, si se utilizan como servicios de backup, obligar a utilizar un buen cifrado.
5. Software de redes y sistemas mal configurado, desactualizado o no parcheado, es decir, no se han seguido los procedimientos adecuados en su configuración y no se han aplicado las actualizaciones o no existen por estar ya el software fuera de su vida útil. Un ejemplo de uso de esta vía de entrada por los ciberdelincuentes son los ataques contra el router, como DNS hijacking o los tristemente populares ataques de DoS o Denegación de Servicio que bloquean el acceso a los usuarios legítimos.
6. Credenciales de usuario comprometidas, porque están en fugas de datos y se reutilizan en otros sistemas, o porque han sido obtenidas por fuerza bruta o por ataques de ingeniería social. En otros casos son obtenidas mediante keyloggers, es decir, software o hardware que registra las pulsaciones o mediante software que espía redes wifi abiertas o con configuraciones de cifrado obsoletas.
7. Contraseñas y credenciales predecibles o por defecto, porque no se han cambiado, las típicas ´admin/admin´ o las que pone el fabricante y se pueden encontrar en la web; o si se han cambiado, se ha hecho por otras de uso común o fácilmente predecibles por el entorno de usuario; o porque están hardcodeadas, es decir, incluidas en la electrónica de los dispositivos.
8. Insiders o personas con acceso que pueden exfiltrar información. Pueden ser empleados insatisfechos por despecho, sobornados por ciberdelincuentes o exempleados que conservan credenciales de acceso por fallos de procedimiento.
9. Carencias del cifrado, por su debilidad, al usar claves simples y deducibles o protocolos obsoletos, o por no aplicarse correctamente las políticas al respecto, por ejemplo, en dispositivos móviles o portátiles o por olvido de cifrar documentos en la nube. Este vector puede llevar a fugas de información.
10. Debilidades de la cadena de suministro, como proveedores tecnológicos o empresas colaboradoras. Si sus sistemas sufren un incidente, los datos pueden verse comprometidos. Por ello es fundamental revisar las cláusulas de seguridad de los Acuerdos de Nivel de Servicio. Un caso particular son los proveedores de servicios en la nube.