Ciberataques contra industrias como la minería o la metalurgia

Espionaje industrial, robo de propiedad intelectual o parálisis de la actividad, son algunos de los objetivos de los ciberataques contra industrias

Hace casi un año, la compañía minera canadiense CMMC sufrió un ataque de ransomware que la obligó a aislar las operaciones infectadas y paralizar equipos tecnológicos, incluido el molino, para evaluar el estado de su sistema de control industrial (ICS). Unas semanas antes del incidente, en la Dark Web se comercializaban las credenciales de acceso de un empleado de la empresa.

Este caso, que afectó a una compañía minera que produce 100 millones de libras de cobre equivalente de forma anual, evidencia el nivel de impacto que pueden tener los ciberataques contra industrias como la minería o la metalurgia.

Las industrias extractoras y pesadas se encuentran en la vanguardia de la aplicación de los grandes avances tecnológicos de las últimas décadas. La robotización, la automatización de procesos, el uso de Inteligencia Artificial o la extensión de los dispositivos IIoT (Industrial Internet of Things) son claves, hoy en día, para el funcionamiento de estas industrias y su capacidad de resultar competitivas.

1. Los sistemas ICS, activos críticos para las industrias

¿Cómo se gestionan todos estos avances en las grandes industrias? Debemos de recurrir a un concepto que mentamos antes, los sistemas de control industrial (ICS). El National Institute of Standards and Technology (NIST), define ICS como: «sistemas de información utilizados para controlar procesos industriales como la fabricación, la manipulación de productos, la producción y la distribución». Bajo la denominación ICS podemos encontrar:

• Los sistemas de control de supervisión y adquisición de datos (SCADA), esenciales para controlar los procesos industriales y gestionar el procesamiento de datos.
• Los sistemas de procesos distribuidos (DCS), que sirven para controlar los procesos industriales de mayor complejidad y envergadura en industrias como la metalurgia o la farmacéutica.
• Los controladores lógicos programables (PLC), que permiten automatizar procesos como las líneas de montaje.

Dada su relevancia en el funcionamiento de las compañías industriales, han proliferado en los últimos años metodologías para ayudar a las empresas a proteger estos sistemas. Sin ir más lejos, el framework MITRE ATT&CK, un estándar global a la hora de entender las tácticas, técnicas y procedimientos (TTPs) de los actores maliciosos, cuenta con una matriz específica para los ICS.

La digitalización de sectores como la minería o la metalurgia y la puesta en marcha de sistemas ICS para automatizar y optimizar procesos trae aparejado un hándicap: su nivel de ciberexposición crece y la posibilidad de sufrir ciberataques aumenta. ¿Por qué? Cuanto mayor sea la infraestructura tecnológica de una empresa y más elevado sea su grado de criticidad para el funcionamiento de la organización, más atractiva resultará la compañía para los ciberdelincuentes (por ejemplo, a la hora de pedir un rescate) y más peligrosa para su competencia.

2. Amenazas persistentes avanzadas contra el sector industrial

¿Qué tipo de actores maliciosos están detrás de los ciberataques contra industrias? En general, se trata de grupos delictivos profesionalizados que disponen de recursos y conocimientos para lograr poner en marcha amenazas persistentes avanzadas (APT, por sus siglas en inglés). Es decir, amenazas que:

• Despliegan tácticas, técnicas y procedimientos sofisticados con el objetivo de superar los controles de detección de las compañías.
• Buscan alcanzar la máxima persistencia posible, lo que implica que los delincuentes pasen desapercibidos durante un largo periodo de tiempo de cara a maximizar el impacto de sus actuaciones (despliegue de ransomware, robo de propiedad intelectual, exfiltración de información confidencial…).
• Suponen una amenaza de enorme gravedad para las compañías, que pueden sufrir desde la parálisis de las actividades ordinarias hasta el daño físico a las personas, pasando por pérdidas económicas y menoscabo de la reputación.
• Se ponen en marcha contra objetivos específicos.

Los ciberataques contra industrias tienen objetivos muy ambiciosos (dañar sistemas ICS, menoscabar la continuidad de negocio, robar propiedad industrial…), lo que conlleva, también, una mayor inversión económica y temporal y disponer de capacidades de inteligencia. Por eso, los grupos APT, muchos de ellos esponsorizados por estados, son los principales actores que los llevan a cabo, ya sea por iniciativa propia, o porque han sido contratados por empresas para atacar a una compañía de la competencia.

3. Vector de ataque: Robar credenciales de acceso remoto

Como pudimos ver en el caso real que relatamos al inicio del artículo, a menudo el vector de ataque que emplean los actores maliciosos es el robo de credenciales para poder acceder en remoto a los sistemas de una compañía. ¿Por qué? Se centra en el punto más débil de la seguridad de la mayoría de las empresas e instituciones: las personas.

¿Cómo se procede a robar las credenciales de un profesional con acceso a los sistemas de una compañía? A menudo entra en juego el binomio ingeniería social-malware. Gracias a campañas de spear phishing se puede conseguir que un empleado descargue involuntariamente un malware que le robe sus credenciales. Además, al auge del teletrabajo y el uso de dispositivos personales para llevar a cabo labores profesionales han diluido el perímetro de seguridad de las empresas, lo que dificulta su protección y las labores de prevención y detección de incidentes.

¿El robo de credenciales de acceso remoto es el único vector de ataque? No, los ciberdelincuentes también puedan recurrir a otro tipo de estrategias. Por ejemplo, explotar vulnerabilidades de día cero presentes en la infraestructura tecnológica de una empresa o desplegar malware como los keyloggers.

Se recurre a la sustracción de credenciales de acceso remoto porque no requiere invertir cuantiosos recursos tecnológicos y humanos y es un vector de ataque más sencillo de explotar que identificar y explotar vulnerabilidades de día cero antes de que sean mitigadas por los equipos de seguridad de las empresas. Es más, como pudimos ver en el caso de la compañía minera CMMC, las credenciales se pueden comprar directamente en la Dark Web.

4. Espionaje industrial para conseguir ventajas competitivas

¿Cuáles son los objetivos de los ciberataques contra industrias? El primero que debemos señar está asociada a una práctica que, de una forma u otra, ha acompañado al avance de la humanidad desde tiempos inmemoriales: el espionaje industrial.

Algunos ciberataques contra industrias como la metalurgia o la minería buscan infiltrarse en los sistemas de una organización no para torpedear su funcionamiento y menoscabar la continuidad de negocio, sino para recabar información confidencial de vital importancia. Por ejemplo, en lo relativo a las investigaciones que llevan a cabo para desarrollar nueva tecnología.

¿Para qué? Vendérsela a empresas de la competencia que puedan sacar réditos de conocer los secretos de una compañía rival.

El espionaje industrial es una práctica criminal con una larga historia a sus espaldas que se ha sofisticado gracias a la revolución tecnológica de las últimas décadas.

Esta clase de ciberataques contra industrias pueden resultar muy lucrativos porque las empresas pueden estar dispuestas a pagar cantidades económicas muy elevadas por el robo y venta de información crítica que se traduzca en ventajas competitivas.

5. Robo de propiedad intelectual e industrial

Un aspecto esencial para cualquier organización industrial es, sin duda alguna, su propiedad intelectual e industrial, que está protegida por la ley y supone un activo de vital importancia para cualquier negocio. Más aún en la actualidad, en la que la infraestructura tecnológica de las empresas es imprescindible para que puedan realizar sus actividades con la máxima eficiencia.

Por ello, los ciberataques contra industrias que tienen como objetivo robar propiedad industrial para venderla al mejor postor suponen:

• Un negocio criminal muy atractivo y que puede reportar ganancias cuantiosas.
• Un daño económico y reputacional para las compañías que han invertido una importante cantidad de recursos en adquirir o desarrollar la tecnología y las técnicas protegidas por la propiedad intelectual o industrial.

6. Ransomware para amenazar la continuidad de negocio y extorsionar a las empresas

Otro objetivo clásico de los ciberataques contra industrias consiste en desplegar ransomware para secuestrar datos sensibles y, con ello, amenazar la continuidad de negocio.

A cambio de devolver al acceso a la información secuestrada, los ciberdelincuentes exigen el pago de un rescate, bajo advertencia, además, de publicar información confidencial en la Dark Web si no se da respuesta a sus demandas. Otro ejemplo de ataque de ransomware contra una empresa minera fue el que sufrió, a las puertas del verano, Fortescue Metals, el cuarto mayor exportador global de mineral de hierro. Este incidente de seguridad, reivindicado por el grupo APT ruso Cl0p, se tradujo en el robo de datos de las redes corporativas.

Si el alcance de un ransomware es elevado puede conllevar la paralización de las actividades de las industrias y suponer pérdidas económicas que menoscaben sus modelos de negocio. ¿Quiere decir esto que las empresas deben ceder al chantaje de los criminales? No. Puesto que supondría financiar a los grupos delictivos para que sigan desarrollando ciberataques, ello unido al mensaje de lo lucrativo que resulta hacerlo y, además, no existe ninguna certeza de que los actores maliciosos van a cumplir su palabra y devolver la información secuestrada para que los sistemas corporativos vuelvan a operar con normalidad.

7. La importancia de la cadena de suministro

El nivel de complejidad de la infraestructura tecnológica de las industrias tiene como consecuencia, también, que sus cadenas de suministro sean cada vez más complejas.

Como hemos señalado en otras ocasiones, los ataques de cadena de suministro suponen, hoy en día, una de las grandes amenazas para las empresas de toda clase de sectores, incluida la industria. De ahí que sea fundamental incrementar el nivel de protección del software y el hardware desde la fase de diseño y a lo largo de su ciclo de vida. Lo que incluye, claro está, la supervisión de los componentes de software o hardware provenientes de terceros.

Este mismo año, la multinacional minera Rio Tinto sufrió un ciberataque de ransomware que explotó una vulnerabilidad presente en el software de transferencia de archivos GoAnywhere. El grupo APT Cl0p, al que venimos de hacer referencia, explotó esta vulnerabilidad zero day para exfiltrar datos confidenciales de la compañía y sus empleados.

Por ello, la securización de la cadena de suministro y la realización de pruebas de seguridad que incluyan el análisis del software y el hardware de terceros son fundamentales a la hora de prevenir los ciberataques contra industrias.

8. Los ciberataques contra industrias serán híbridos en el futuro inmediato

Más allá de las tendencias actuales en lo relativo a los ciberataques contra industrias, ya se pueden vislumbrar algunas claves de los próximos años.

En este sentido, la Agencia de la Unión Europea para la Ciberseguridad (ENISA) ha publicado recientemente un informe con las principales amenazas a las que tendrán que hacer frente las empresas, instituciones y ciudadanos europeos de aquí a 2030. Una de estas amenazas está focalizada en el sector industrial: las amenazas avanzadas híbridas.

¿En qué consisten estos ciberataques contra industrias de carácter híbrido? Los delincuentes son contratados por compañías de la competencia y se infiltran en los sistemas corporativos para recabar información confidencial sobre las investigaciones, tecnologías y técnicas empresariales. ENISA alerta de que los actores maliciosos son capaces de:

• Recuperar metadatos.
• Ver el código.
• Configurar un algoritmo de aprendizaje automático para recoger los cambios en el código.
• Pasar desapercibidos a los controles de seguridad y los mecanismos de detección de actividad maliciosa.

Y, a la vez, complementan el ataque mediante la difusión de fake news sobre terceras compañías que son competidoras y crean pruebas falsas que evidencian una intrusión física para despistar a los equipos de seguridad y permanecer el máximo tiempo posible para cumplir sus objetivos de espionaje industrial.

9. Consecuencias de los ciberataques contra industrias

A la luz de las claves sobre los ciberataques contra industrias que hemos ido explorando podemos listar una serie de consecuencias directas de esta clase de incidentes para las compañías que operan en el sector secundario:

1. Graves pérdidas económicas como consecuencia de la paralización de procesos industriales, pero también del robo de propiedad intelectual e industrial.
2. Debilitación de su posición en el mercado. El espionaje industrial sirve para conocer con exactitud cómo opera la competencia, qué está investigando y tomar medidas para debilitar su posición en el mercado. Gracias a los ciberataques contra industrias, compañías rivales es posible obtener ventajas competitivas sobre las empresas atacadas.
3. Deterioro de la imagen de la empresa y pérdida de confianza entre clientes y socios. Los incidentes de seguridad lastran la reputación empresarial, además, si se traducen en la exfiltración de datos sobre clientes las consecuencias pueden ser aún más graves. Asimismo, para las empresas del sector industrial son fundamentales los socios con los que trabajan y un ciberataque exitoso puede afectar a su credibilidad y el nivel de confianza que inspira en otras organizaciones.
4. Daños para la salud de las personas. Si un ciberataque altera el funcionamiento de un ICS puede no solo paralizar su funcionamiento, sino causar daños materiales y personales. Al fin y al cabo, en las fábricas, minas o plataformas petrolíferas trabajan seres humanos que pueden ver cómo su seguridad física se pone en entredicho. La protección de las personas es una preocupación creciente en el terreno de la ciberseguridad.

10. Mejorar la resiliencia frente a los ciberataques contra industrias

Habida cuenta del nivel de conocimientos y recursos de los grupos delictivos que ponen en marcha los ciberataques contra industrias, así como la complejidad técnica de sus TTPs es fundamental que las compañías de sectores como la minería o la metalurgia cuenten con equipos de expertos en Threat Hunting proactivo y Threat Intelligence.

¿Por qué? Les ayudarán a mejorar su resiliencia frente a las amenazas persistentes avanzadas y actualizar sus estrategias de seguridad de forma continua para anticiparse a los actores maliciosos y tomar la delantera en cuestiones como los ciberataques híbridos.

En este sentido, los equipos de Threat Hunting y de Threat Intelligence de Tarlogic, cada uno desde una aproximación diferente, monitorizan de forma continua a los grupos APT más relevantes para estudiar sus TTPs y optimizar las capacidades de identificación y detección y, con ellas, las capacidades defensivas de las empresas del sector.

Asimismo, los profesionales especializados en prestar servicios de Red Team pueden diseñar ejercicios de compromiso específicos para estudiar cómo responde una organización ante incidentes de seguridad como los que hemos descrito a lo largo de este artículo, en los que la persistencia de los actores maliciosos es esencial.

Gracias a estos ejercicios de compromiso se puede recabar información para mejorar las capacidades defensivas y ayudar a los equipos de seguridad a entrenarse en escenarios reales e incrementar su efectividad a la hora de detectar y responder antes ciberataques contra industrias.

En definitiva, los ciberataques contra industrias son una realidad que pone en tela de juicio a miles de empresas en todo el mundo. La apuesta tecnológica de estas compañías para resultar más eficiencias y competitivas trae aparejada un incremento de su ciberexposición y las sitúa como targets de los ciberdelincuentes, pero también de sus rivales.