Opinión de un Fied CISO sobre las amenazas a los entornos OT

Julio de 2024, Múnich

En un mundo cada vez más interconectado, las empresas enfrentan el gran desafío de proteger no solo sus sistemas de IT, sino también su Tecnología Operacional (OT) contra ciberataques cada vez más sofisticados. El hardware y el software utilizados para monitorear y controlar procesos físicos, dispositivos e infraestructuras están expuestos a ataques dirigidos tanto internos como externos.

La OT se aplica, por ejemplo, para controlar robots en una planta de producción o para supervisar ventiladores en hospitales. Si estos dispositivos no están suficientemente protegidos, las vulnerabilidades pueden ser explotadas y el malware puede ser introducido. El malware también puede infiltrarse en la tecnología operativa a través de hardware externo, dispositivos de almacenamiento extraíbles o la intranet.

En nuestra entrevista, Guido Kraft, Field CISO en WALLIX, analiza los últimos desarrollos, estrategias y mejores prácticas para fortalecer la seguridad OT.

¿Cómo ha evolucionado el panorama de amenazas para la OT (Tecnología Operacional) recientemente?

Guido Kraft: El panorama de amenazas para la OT ha cambiado significativamente, con un notable aumento de amenazas. Observamos un incremento significativo en los ataques, especialmente en el área de infraestructuras críticas (KRITIS), que a menudo están motivados políticamente.

Por ejemplo, grupos de hackers dirigidos por estados, como los “Five Bears” rusos, apuntan continuamente a infraestructuras críticas, así como a gobiernos, autoridades, partidos y otras áreas sistémicamente relevantes. El hackeo del Bundestag en 2015 es un ejemplo prominente.

Registramos varios miles de ataques al mes. La situación geopolítica y los cambios en las relaciones de poder globales juegan un papel crucial. La ciberguerra es una realidad y se lleva a cabo en paralelo a los conflictos convencionales, afectando gravemente nuestras infraestructuras técnicas de suministro, como la energía, el transporte y la atención médica.

¿Existen campos o tecnologías específicas que son particularmente atacadas?

Guido Kraft: Sí, la fabricación industrial y la producción química son objetivos frecuentes. El robo de propiedad intelectual y secretos empresariales también representa una amenaza creciente. Las máquinas más antiguas, que aún funcionan con sistemas obsoletos –a veces incluso anteriores a Windows 2000–, están especialmente en riesgo, ya que a menudo no están suficientemente protegidas. Con el aumento de la interconexión e integración de nuevas máquinas en redes OT, también aumenta el número de puntos potenciales de ataque.

¿Qué papel juegan, en tu opinión, tecnologías como el aprendizaje automático y la IA –inteligencia artificial– en la seguridad OT?

Guido Kraft: La IA y el aprendizaje automático son armas de doble filo. Por un lado, pueden ayudar a detectar anomalías en el comportamiento del usuario y monitorear redes de manera eficiente. Por otro lado, representan una amenaza si los atacantes utilizan estas tecnologías para explotar vulnerabilidades en los sistemas OT. La IA de los programas utilizados internamente, por ejemplo, para controlar instalaciones de producción, también debe ser estrictamente monitoreada por el departamento de ciberseguridad: ¿qué accesos y permisos tienen estos sistemas?

Los estudios muestran que la mayoría de los encuestados perciben los ataques de IA como una amenaza para su infraestructura OT. La clave está en seleccionar cuidadosamente los casos de uso y desarrollar mecanismos de control para minimizar los riesgos.

¿Y cómo afecta la proliferación de tecnologías Cloud y SaaS a la seguridad OT?

Guido Kraft: La integración de tecnologías Cloud y SaaS en entornos OT presenta tanto oportunidades como riesgos. Mientras que estas tecnologías están muy extendidas en TI, su aplicación en entornos OT a menudo es problemática debido a los requisitos específicos y las preocupaciones de seguridad. Para implementar estas tecnologías de manera segura sin afectar las operaciones, se necesita una estrategia integral.

Para enfrentar estos nuevos desafíos: ¿Qué medidas pueden tomar las empresas?

Guido Kraft: Es crucial establecer sistemas de acceso privilegiado que solo permitan el acceso a personas autorizadas, a menudo asegurados mediante MFA, es decir, autenticación multifactor. Un proceso de aprobación en varias etapas y la auditabilidad completa también son elementos importantes. Estándares como IEC 62443 proporcionan una base sólida. Se trata de controlar estrictamente los accesos y asegurarse de que solo se otorguen los permisos necesarios.

¿Cuáles son las mejores prácticas para las empresas que desean mejorar su seguridad OT?

Guido Kraft: Las empresas deben integrar los principios de Zero Trust en su estrategia de seguridad. Las soluciones de gestión de acceso privilegiado y de gobernanza de identidad y acceso son esenciales para controlar estrictamente los accesos. La tendencia es claramente hacia la seguridad preventiva. Un modelo de clasificación de riesgos puede ayudar a clasificar diferentes sistemas según su riesgo y asegurar en consecuencia. También es importante considerar las normativas y estándares específicos del sector, como IEC 62443 y NIS2.

Los estándares de cumplimiento deben fomentar la seguridad, pero a menudo presentan desafíos para las empresas en su cumplimiento. ¿Cómo puede ayudar la gestión de acceso privilegiado o “PAM” en este aspecto?

Guido Kraft: Primero es esencial obtener una visión general de qué regulaciones son relevantes para una organización o para los diferentes sistemas dentro de ella. Nuestro modelo de clasificación de riesgos es una herramienta para categorizar sistemas y sus necesidades de protección, desde sistemas de alto riesgo como servidores de datos hasta componentes menos críticos. Este modelo permite implementar medidas de seguridad específicas de manera dirigida. Por ejemplo, en sistemas de alto riesgo, el acceso puede estar estrictamente regulado y asegurado con autenticación multifactor, mientras que los sistemas menos críticos pueden usar protocolos de seguridad más flexibles. Junto con soluciones PAM, se pueden cumplir las regulaciones de protección de datos específicas del sector y generales, desde NIS2 hasta ISO 27001.

¿Qué obstáculos ves más a menudo en los clientes al implementar PAM o la gobernanza de identidad y acceso (IAG)?

Guido Kraft: El mayor obstáculo es a menudo la complejidad. Muchos clientes se muestran reticentes a implementar estas soluciones porque las perciben como demasiado complejas y de alto mantenimiento. Sin embargo, nuestra experiencia muestra que las soluciones bien diseñadas son relativamente fáciles de implementar y permiten una integración sin problemas en las infraestructuras de seguridad existentes. Aun así, siempre hay desafíos, especialmente en la adaptación a los requisitos específicos de la empresa y la integración con los sistemas existentes, por ejemplo, al usar soluciones SaaS.

¿Se puede medir y evaluar la efectividad de las soluciones PAM e IAG?

Guido Kraft: Es difícil cuantificar la efectividad, ya que el ROI de las medidas de seguridad a menudo no es directamente medible. Sin embargo, algunas métricas importantes son el número de accesos no autorizados prevenidos y el tiempo necesario para responder a incidentes de seguridad. Un indicador de la efectividad también es la facilidad de uso y la aceptación de las medidas de seguridad en la empresa.

Para finalizar, ¿qué tendencias deberían observar las empresas en los próximos años?

Guido Kraft: Las empresas deben prepararse para la creciente interconexión y la integración de la IA en los sistemas OT. Los modelos de seguridad Zero Trust serán cada vez más importantes, así como el cumplimiento de nuevas normativas y estándares. También será crucial implementar soluciones de seguridad flexibles y escalables que puedan cubrir tanto sistemas antiguos como nuevos. La capacitación continua y la concienciación de los empleados siguen siendo aspectos centrales de la seguridad OT.

Guido, ¡muchas gracias por la entrevista!

Guido Kraft, Field CISO en WALLIX

Cookie	Duración	Descripción
IDE	1 year 24 days	Used by Google DoubleClick and stores information about how the user uses the website and any other advertisement before visiting the website. This is used to present users with ads that are relevant to them according to the user profile.
test_cookie	15 minutes	This cookie is set by doubleclick.net. The purpose of the cookie is to determine if the user's browser supports cookies.
VISITOR_INFO1_LIVE	5 months 27 days	This cookie is set by Youtube. Used to track the information of the embedded YouTube videos on a website.

Cookie	Duración	Descripción
__hstc	1 year 24 days	This cookie is set by Hubspot and is used for tracking visitors. It contains the domain, utk, initial timestamp (first visit), last timestamp (last visit), current timestamp (this visit), and session number (increments for each subsequent session).
_ga	2 years	This cookie is installed by Google Analytics. The cookie is used to calculate visitor, session, campaign data and keep track of site usage for the site's analytics report. The cookies store information anonymously and assign a randomly generated number to identify unique visitors.
_gid	1 day	This cookie is installed by Google Analytics. The cookie is used to store information of how visitors use a website and helps in creating an analytics report of how the wbsite is doing. The data collected including the number visitors, the source where they have come from, and the pages viisted in an anonymous form.
hubspotutk	1 year 24 days	This cookie is used by HubSpot to keep track of the visitors to the website. This cookie is passed to Hubspot on form submission and used when deduplicating contacts.
trackalyzer	1 year	This cookie is used by Leadlander. The cookie is used to analyse the website visitors and monitor traffic patterns.

Cookie	Duración	Descripción
__hssc	30 minutes	This cookie is set by HubSpot. The purpose of the cookie is to keep track of sessions. This is used to determine if HubSpot should increment the session number and timestamps in the __hstc cookie. It contains the domain, viewCount (increments each pageView in a session), and session start timestamp.
bcookie	2 years	This cookie is set by linkedIn. The purpose of the cookie is to enable LinkedIn functionalities on the page.
lang	session	This cookie is used to store the language preferences of a user to serve up content in that stored language the next time user visit the website.
lidc	1 day	This cookie is set by LinkedIn and used for routing.
messagesUtk	1 year 24 days	This cookie is set by hubspot. This cookie is used to recognize the user who have chatted using the messages tool. This cookies is stored if the user leaves before they are added as a contact. If the returning user visits again with this cookie on the browser, the chat history with the user will be loaded.

Cookie	Duración	Descripción
__cfduid	1 month	The cookie is used by cdn services like CloudFare to identify individual clients behind a shared IP address and apply security settings on a per-client basis. It does not correspond to any user ID in the web application and does not store any personally identifiable information.
__hssrc	session	This cookie is set by Hubspot. According to their documentation, whenever HubSpot changes the session cookie, this cookie is also set to determine if the visitor has restarted their browser. If this cookie does not exist when HubSpot manages cookies, it is considered a new session.
cookielawinfo-checbox-analytics	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checbox-functional	11 months	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-performance	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
JSESSIONID	session	Used by sites written in JSP. General purpose platform session cookies that are used to maintain users' state across page requests.
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.

Cookie	Duración	Descripción
_gat_UA-12183334-1	1 minute	No description
AnalyticsSyncHistory	1 month	No description
CONSENT	16 years 9 months 23 days 12 hours 13 minutes	No description
UserMatchHistory	1 month	Linkedin - Used to track visitors on multiple websites, in order to present relevant advertisement based on the visitor's preferences.
wp-wpml_current_language	1 day	No description

Opinión de un Fied CISO sobre las amenazas a los entornos OT

Contenido relacionado

Recursos relacionados

PRODUCTOS

RECURSOS

ASISTENCIA

ACERCA DE

SÍGUENOS

Opinión de un Fied CISO sobre las amenazas a los entornos OT

Comparte este artículo

Contenido relacionado

Recursos relacionados

PRODUCTOS

RECURSOS

ASISTENCIA

ACERCA DE

SÍGUENOS