La seguridad de ICS en el centro de atención debido a las tensiones con Irán

Dadas las intensas tensiones entre Estados Unidos e Irán, las organizaciones con infraestructura industrial conectada debe estar en guardia.

"El posible impacto cibernético del asesinato [del general iraní Qasem] Soleimani es profundo", advirtió Eyal Elyashiv, director ejecutivo y cofundador de la empresa de seguridad de redes Cynamics.

Los observadores de la industria dicen que los problemas recientes entre los dos países aumentan el riesgo cibernético en su conjunto. "Si bien Trend Micro no tiene información privilegiada sobre planes de ataque específicos, es lógico pensar que el aumento de las tensiones políticas generaría ciberataques", dijo Bill Malik, vicepresidente de estrategias de infraestructura de Trend Micro.

A raíz del asesinato, varios expertos en ciberseguridad, así como funcionarios del gobierno de EE. UU., Advirtieron sobre el riesgo de seguridad de ICS que representan los adversarios afiliados a Irán.

Otros señalan la probabilidad de ataques cibernéticos más pequeños diseñados para distraer en lugar de provocar represalias. La perspectiva de una guerra cibernética total entre Estados Unidos e Irán "no debería ser la suposición predeterminada", dijo Andrea Little Limbago, Ph.D., científico social jefe de Virtru. La “actividad cibernética de Irán, desde los ataques destructivos hasta la desinformación, se ha generalizado durante bastante tiempo. Eso no es nuevo y no está vinculado a los eventos de esta semana ", dijo.

Durante la última década, las capacidades cibernéticas de Irán se han expandido considerablemente. Los expertos en ciberseguridad atribuyeron una serie de ataques a Estados Unidos y otros objetivos, desde ataques de denegación de servicio a bancos estadounidenses hasta malware personalizado dirigido a los sistemas de Saudi Aramco, a los actores iraníes. También en relación con la seguridad de ICS, los informes de 2015 afirmaron que piratas informáticos iraníes se infiltraron en la red eléctrica de EE. UU.

"Los funcionarios en los Estados Unidos deberían estar muy preocupados por las capacidades cibernéticas y el alcance de Irán", dijo Elyashiv.

Si bien algunos relatos indican que las tensiones entre las naciones han disminuido, una alerta del 4 de enero del Departamento de Seguridad Nacional (DHS) advirtió que Irán podría, como mínimo, lanzar "ataques con efectos perturbadores temporales contra la infraestructura crítica en los Estados Unidos".

De manera similar, la Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. Advirtió sobre el riesgo potencialmente mayor de ataques y espionaje cibernético contra objetivos estratégicos en "organizaciones de finanzas, energía y telecomunicaciones, y un mayor interés en los sistemas de control industrial y la tecnología operativa".

Los actores iraníes tienen un historial de atacar sitios estadounidenses. En 2016, el Departamento de Justicia de Estados Unidos reveló una acusación formal que acusaba a siete contratistas iraníes del Cuerpo de la Guardia Revolucionaria Islámica de Irán de llevar a cabo ataques cibernéticos en varios bancos y una presa de Nueva York. Estados Unidos también acusó a los actores vinculados a Irán de "explorar y planificar contra objetivos de infraestructura y ataques cibernéticos contra una variedad de objetivos con base en Estados Unidos", según una advertencia del DHS.

Tal focalización se extiende al ámbito industrial. Un colectivo de hackers conocido como Advanced Persistent Threat 33 vinculado a Irán tiene un historial de atacar los sectores de defensa, transporte y energía, según Cyberscoop.

Limbago cree que es demasiado pronto para asumir que Irán dará prioridad a la explotación de las vulnerabilidades de seguridad de ICS a corto plazo. "Si las tensiones aumentan más, eso puede cambiar, pero dado el nivel actual, la continua actividad cibernética de Irán continuará en lo que se considera la zona gris [sin llegar a escalar a la guerra)]", dijo. "Si bien ICS es ciertamente una preocupación, Irán comprende que los ataques destructivos a la infraestructura crítica probablemente conducirán a una escalada y represalias".

De manera similar, Carol Rollie Flynn, exdirectora ejecutiva del Centro de Contraterrorismo de la CIA, espera que Irán lleve a cabo ataques cibernéticos más pequeños. “No quieren que tomemos represalias contra ellos. Han sentido eso antes ”, le dijo a

Otra posibilidad, dijo Limbago, es que los actores iraníes podrían apuntar a organizaciones del sector privado que carecen de una conexión ICS clara. Existe un precedente para tales tácticas. En 2015, James Clapper, entonces director de inteligencia nacional, declaró que Irán probablemente estaba detrás de un ataque en el Sands Casino que era una represalia por los comentarios anti-Irán de su director ejecutivo, Sheldon Adelson. "Lo que probablemente esté más en línea con sus patrones anteriores sería apuntar a organizaciones del sector privado asociadas con la rama ejecutiva que podrían infligir problemas financieros, pero no lograrían reunir al público estadounidense y al gobierno dividido para responder", dijo Limbago.

Otro elemento central en la ciberestrategia de Irán son las operaciones de desinformación, que Limbago categorizó como "extremadamente prolíficas y globales". "Ciertamente habrá una continuación de estas actividades, tanto a nivel nacional para generar apoyo progubernamental como a nivel mundial para generar un sentimiento antiestadounidense", agregó Limbago.

Gestión del riesgo cibernético

Independientemente de lo que surja de las tensiones recientes, la situación brinda una oportunidad para que las organizaciones con infraestructura industrial evalúen sus dispositivos conectados. “Recomendamos nuevamente que los propietarios y operadores de sistemas de control industrial revisen su inventario de tecnología, evalúen sus vulnerabilidades y apliquen los controles que puedan para reducir su perfil de ataque”, dijo Malik.

Dado el enfoque de las organizaciones industriales en el tiempo de actividad, es típico que los entornos industriales, incluidos aquellos en entornos de infraestructura crítica, utilicen hardware y software desactualizados y sin parches. "Las organizaciones deben mirar más allá de los sistemas anticuados que se utilizan actualmente para proteger la infraestructura crítica, ya que la historia reciente muestra claramente que pueden verse comprometidos fácilmente", dijo Elyashiv.

Si bien la higiene cibernética es de importancia crítica, David Goldstein, presidente y director ejecutivo de AssetLink Global LLC, enfatizó que las organizaciones también deben enfocarse en la seguridad física. "La respuesta a la seguridad [IIoT] no está completamente en el hardware y el software", dijo Goldstein.

Irónicamente, el tema del acceso físico fue un elemento central en el ataque de Stuxnet contra las centrifugadoras nucleares de Irán hace una década. En la campaña Stuxnet, agentes dobles que supuestamente trabajaban en nombre de los gobiernos de EE. UU. E Israel instalaron malware en una red central con espacio de aire en la instalación de enriquecimiento nuclear de Natanz. Como resultado, aproximadamente 1,000 de sus centrifugadoras nucleares dentro de la instalación fueron finalmente destruidas.

La saga Stuxnet ilustra la importancia no solo del control de acceso, sino también de la confianza en general, dijo Goldstein. "¿Con quién trabaja, en quién confía, quién tiene credenciales para ingresar a su sistema, quién tiene acceso físico?" Preguntó:"La confianza entre actores y socios se volverá cada vez más importante con el tiempo a medida que los sistemas de IoT infunden todo", explicó.

A medida que las tecnologías de IoT ganan terreno en los contextos industriales, hay una escasez de ciber-expertos que estén familiarizados con el mundo de los sistemas de control industrial. “La mayoría de los analistas y consultores de seguridad aplican las mismas técnicas a los sistemas de IoT [industriales] que a las redes de TI de las oficinas normales”, dijo Goldstein. Dado el volumen de protocolos propietarios, la dificultad para realizar actualizaciones de software en tales entornos plantea una "vulnerabilidad muy grande", según Goldstein.

Organizaciones como el Departamento de Defensa de EE. UU. Y MITRE Corp. están ayudando a cerrar la brecha con marcos ICS como el marco MITRE ATT &CK para ICS. "Este documento proporciona una forma para que los fabricantes, propietarios y operadores de ICS discutan posibles escenarios de ataque e informen de las vulnerabilidades de manera consistente en todos los sectores industriales", dijo Malik. "Cualquier organización debería considerar seriamente el uso de este marco para aclarar [su] postura de seguridad ICS".

Malik también hizo hincapié en afrontar el simple hecho de que la ciberseguridad es más un viaje que un destino. “Suponiendo que el marco de tiempo para tensiones tan elevadas sea a corto plazo, es poco lo que los fabricantes de ICS pueden hacer para fortalecer su producción actual [postura de seguridad] rápidamente”, dijo.

Malik notó una vulnerabilidad que los proveedores de ICS deben abordar:ocasionalmente acceden a su tecnología en el campo para operaciones de mantenimiento y diagnóstico de fallas. "Esos enlaces de mantenimiento pueden servir como vector de ataque", dijo.

Malik recomendó que los proveedores tomen varias medidas para proteger los datos de los clientes. Otras consideraciones vitales incluyen cifrar el tráfico cuando sea posible y garantizar que las actualizaciones de software sean seguras. "Sería trágico si un pequeño problema en un cliente hiciera que un fabricante impulsara una solución a toda su tecnología que, en sí misma, resultó ser portadora de malware", dijo Malik.