Cascos, chalecos, zapatos especiales, arneses y más. El mundo industrial está lleno de medidas de seguridad. Sin embargo, esas precauciones que se toman en la línea de producción no tienen correlación con la ciberseguridad: la industria está tan atrasada que incluso tiene máquinas funcionando con DOS, Windows 95 y sistemas operativos que no han sido actualizados por más de 30 años. Y esto es extremadamente peligroso.
Así lo contó Hernando Castiglionisenior manager de Fortinet para Argentina, Uruguay, Paraguay, Bolivia y Venezuela, en la edición 2022 del Xperts Summit que se llevó a cabo en Cancún: “La ciberseguridad hoy es el problema por el cual la industria no puede evolucionar a su siguiente paso”, aseguró en dialogar con Claríncategórico.
Los ciberataques contra el mundo industrial son muy graves: desde reactores nucleares que pueden hacer estallar una ciudad entera, pasando por ransomware como el que sufrió Ingenio Ledesma en marzo de este año en Argentina, hasta parar por completo una línea de producción, como sucedió con la energética Colonial. Pipeline el año pasado en los Estados Unidos. E incluso hay casos que no llegan a los titulares, como Transportista de gas del sur en abril de este año, atacado por Black Cat (ALPHV).
Aunque pueda parecer llamativo, las medidas de seguridad informática en este ámbito, conocidas como OT (Tecnología Operacional), son casi nulos. Y esto tiene sus razones: “Hay algo en no querer tocar las cosas que funcionan bien, muchas veces esos sistemas cuestan mucho trabajo y esfuerzo para hacerlos funcionar, y cambiar algo puede representar una gran impacto en toda la cadena productivaTodo tiene que ser abordado con mucho cuidado”.
Esto conlleva un gran peligro: al utilizar sistemas antiguos, no cuentan con actualizaciones de seguridad y son altamente vulnerables. Aquí es donde entra la categoría OT, es decir, la seguridad informática de los sistemas industriales, que tiene el duro desafío de actualizar estas prácticas ante los riesgos que implican los ciberataques actuales.
Aquí, el experto contó a Clarín, en colaboración con el medio especializado IT Now, los desafíos de un sector extremadamente sensible a los ciberataques.
─ ¿Cuál es el panorama de las tecnologías industriales?
─Históricamente, la industria contaba con redes que venían del mundo serial, que siempre estaban apartado del mundo informático tradicional: redes de Internet, correo, intercambio de archivos.
─¿Por qué?
─Es lo que llamamos un “entrehierro”, una separación entre la industria y las comunicaciones ethernet con el mundo de internet. Estas redes manejan muchos sensores, actuadores, formas de medir y controlar procesos, con sistemas que vienen de los años 60 o 70. Una red de transporte, electricidad, petróleo, manufactura: todos estos sistemas no fueron diseñados ni nacieron con una lógica de protección de la ciberseguridad. La mayoría de Los protocolos son viejos.
─¿Qué tan vulnerables son las redes industriales a los ciberataques?
─La mayoría, por no hablar del 99% de las redes industrialesSon altamente vulnerables. Pensemos en un ransomware que entra en una industria, tiene un terreno totalmente verde y libre para hacer lo que quiera dentro. Esto puede tener un gran impacto incluso en la vida de las personas, porque puede interrumpir un servicio público básico como el transporte, la electricidad.
─¿Qué es lo más peligroso que viste?
─Tenemos casos en los que los clientes envían información de un entorno a otro con una memoria USB. Como las redes no están conectadas a internet, utilizan estos dispositivos y envían la información de un lugar a otro. Eso es todo extremadamente peligroso porque si esa pluma está infectadaun malware está recibiendo [virus] dentro de toda la red.
─¿No utilizas sistemas de autenticación?
─En muchos casos, no. Hay muchos fabricantes de tecnología industrial que operan en la industria, es decir, los fabricantes vienen con su personal y trabajan en red. Pues bien, este acceso a la red industrial se da de una forma totalmente insegura: no hay autenticación, no hay validación, no hay monitorización para saber si esa persona que está conectando tus equipos de comunicaciones, tus portátiles, puede ser potencialmente dañina. para la salud de la red.
─¿Y cómo se conectan a internet, si son equipos tan antiguos?
─Hemos visto casos en los que quizás una persona se conecta a distancia y que tiene la capacidad, lo hace a través de un módem 4G, un teléfono, y entras a la red industrial por ese teléfono porque te estás conectando de forma remota. Tal vez viene de otro país. Eso también es extremadamente peligroso para una red y puede traer grandes problemas.
─¿Cuál es el ataque más peligroso para las industrias hoy en día?
─Estamos viendo que las amenazas han evolucionado mucho. Hoy, cuando una máquina está encriptada por ransomware, ransomware es el último paso en la eliminación qué hacen con el PC u ordenador atacado: van a obtener mucha información previa antes de cifrar la máquina. Primero capturan con un registrador de teclas [programa que graba lo que el usuario presiona] todo lo que pueden Luego roban contraseñas, obtienen datos de correo electrónico, información confidencial, documentos. Y lo último que hacen es cifrar. Existen amenazas persistentes avanzadas (APT). Aterrizo en una red y ahí me quedo años, tomando información, esperando el momento adecuado para actuar, capturando datos, planificando cómo voy a lograr mi objetivo. Todas estas técnicas son muy peligrosas.
Migrar tecnologías, mover un elefante
─En el mundo industrial, ¿qué tan factible es migrar de tecnología para actualizar a sistemas más seguros?
─Piensa que hay equipos en la industria que podrían haber estado encendidos durante literalmente 30 años. Es increíble porque en el mundo de las TI, de las startups o de las grandes empresas tecnológicas que todos conocemos, las cosas se encienden y apagan con mucha más frecuencia, se actualizan todo el tiempo. Yo no casi nunca actualizan: actualizar software es algo impensable, pero sobre todo porque estamos hablando de una industria con equipos antiguos, simplemente porque si uno se actualiza, tiene un impacto directo en otras computadoras.
─¿Y ese software se puede cambiar?
─El software que está ejecutando puede estar tan viejo que no hay forma de actualizarlo. Obviamente no es necesario remplazar todo para modernizar la industria, lo que se necesita es simplemente entender que desde la topología debe haber algún mecanismo de control y la seguridad cibernética lo que me permite segmentar las diferentes redes para que en caso de algún problema puedas aislarlo.
─¿Hay algún tema cultural que se resista al cambio?
─Sí, hay un tema cultural porque son dos universos completamente diferentes. En la industria, la seguridad de las personas es de suma importancia. Hay controles en cuanto a la seguridad física y hay máquinas que tienen que funcionar y no se pueden cortar. En el mundo de la informática se corta el internet, van a tomar un café 10 minutos, vuelven, vuelve el internet y ya está. La operación industrial es diferente: si se corta durante 5 minutos puede tener un gran impacto.
─¿Qué sistemas operativos sueles utilizar?
─Todo, pero hay mucho Windows XP o hasta Windows 95. Es normal encontrarlos en este tipo de ambiente, tenemos sistemas y programas que corren solo en Windows 95. Entonces estamos desarrollando algunas de las soluciones que tenemos para esos sistemas antiguos, precisamente para poder ofrecer protección a alguien que naturalmente no podría tenerlo, porque ¿Tiene alguna forma de actualizar un sistema operativo de hace 30 años?
un problema regional
─¿Con qué empresas argentinas trabajáis?
─Trabajamos con muchas empresas argentinas. Tratamos de no mencionar nombres, pero tenemos la 50% del mercadocon que uno de cada 2 cortafuegos -que es a lo que se asocia la ciberseguridad- que se venden a nivel empresarial son el 50%.
─¿Cómo es este tema en las industrias vinculadas al Estado?
─Es difícil, el Estado es muy grande. No siempre se puede invertir lo que se necesita para resolver algunos problemas, las filtraciones de datos son muy comunes. En el último tiempo se ha avanzado mucho, en relación a otros períodos. En Fortinet trabajamos con tecnología que se dedica específicamente a buscar los datos filtrados y alertar al cliente antes de que alguien más se entere. Por un lado, analizamos lo que hay en la dark web y nos fijamos en lo que se comparte. Por otro, hacemos la pericia: ¿De dónde vino y qué pasó?
─ ¿Es un problema de América Latina o del mundo?
─Le pasa a todo el mundo. Todas las industrias en todos los segmentos tienen problemas muy similares pero al mismo tiempo muy específicos. Cuando se habla hoy en día de Smart Grid o Smart Cities, Smart Buildings, edificios, hoteles, bancos, todos hoy en día tienen una red industrial de una forma u otra que controla diferentes cosas. Y ahí tienes protocolos antiguos, ausencia total de encriptación. Y falta de visibilidad: si hay un ataque a una red neutral, nadie sabría qué está pasando ni por qué.
─¿Cómo trabajáis para contrarrestar todos estos peligros que describís?
─Nuestro trabajo en OT es investiga que se puede hacer para intentar proteger esas redes de cualquier tipo de ataque. La mayoría de las empresas de ciberseguridad no se enfocan mucho porque no tienen el tamaño de mercado del mundo de TI, por lo que es importante poder brindar este tipo de servicio de soporte a los sistemas antiguos.
Acerca de la cumbre de expertos de Fortinet
Fortinet Xperts Summit es una cumbre anual celebrada fortnite, una de las mayores empresas de seguridad informática. El evento reunió a expertos en seguridad informática durante 4 días, entre el 24 y el 28 de octubre, y reunió a la comunidad de Canadá, América Latina y el Caribe.
Hubo talleres especializados, charlas, mesas redondas y actualizaciones sobre los debates actuales en seguridad informática. Algunos de ellos, dedicados a periodistas de la región.
Clarín participó en la edición 2022 del evento, realizado en Cancún, México. Las primeras charlas globales (keynotes) estuvieron enfocadas en actualizaciones sobre firewalls, redes privadas (VPN) y Sistema operativo Forti (el sistema operativo de la empresa, una distribución de linux), además de servicios en la nube.
En gran medida, la estrategia de “confianza cero” fue el hilo conductor del evento: Zero Trust Network Access (ZTNA), es decir, asumir que las amenazas de ciberseguridad pueden entrar a través de cualquier actor, incluidos los empleados o trabajadores de una entidad. .
El evento cerró el viernes de la semana pasada con cerca de 400 asistentes.
