Los entornos industriales han dejado de ser un espacio exclusivamente tangible y gran parte de la actividad productiva ha pasado a conformar una infraestructura digital. Protegerla es fundamental para el éxito de las empresas y para el equilibrio económico global.
La interconexión de dispositivos y la automatización de procesos en entornos industriales han generado, sin duda, notables mejoras en eficiencia y productividad. Sin embargo, esta misma conectividad ha expuesto vulnerabilidades a ciberataques que pueden tener graves consecuencias para las productoras, los colaboradores —como proveedores o cadenas logísticas— e incluso para los clientes.
Los expertos en la materia trabajan para mejorar los sistemas de prevención y actuación, conscientes de que los desafíos de futuro serán cada vez más complejos. Hablamos de ello con Francisco Lázaro Anguis, profesor asociado en la Escuela Técnica Superior de Ingenieros de Telecomunicación de la Universidad Politécnica de Madrid (UPM).
La transformación de los sistemas operativos
“En el ámbito industrial, encontramos los activos conocidos como Sistemas OT (Operational Technology), que son las tecnologías de gestión de procesos de producción”, explica Lázaro Anguis. El término OT alberga desde los sistemas de automatización y control industrial (o ICS, Industrial Control Systems) hasta los procesadores de datos y los sistemas SCADA (Supervisor Control and Data Acquisition). Estos sistemas se caracterizan, como explica el especialista, por ser “equipos que interactúan con procesos físicos (sensores y actuadores), proporcionan los sistemas de control industrial y operan en condiciones extremas”.
Lázaro Anguis destaca cómo los sistemas OT, que hasta hace pocos años estaban aislados de la red pública de internet, ahora se están integrando en redes más abiertas. Esto implica el uso de sistemas operativos comerciales estándar —como Windows o Linux— y la adopción de redes Ethernet para la comunicación. A esto se suma que se están realizando labores de mantenimiento remoto, aprovechando la infraestructura informática existente.
En este contexto es clave el control que estos sistemas ejercen sobre elementos físicos críticos, como tuberías, motores eléctricos y vías de ferrocarril, además de la relevancia estratégica y la migración hacia tecnologías más comunes y, por tanto, con vulnerabilidades conocidas.
“Las amenazas responden a diferentes motivos y van desde el interés económico (materializándose con ataques de ransomware, por ejemplo) a los geopolíticos (mediante la denegación del servicio o destrucción de información, entre otros)”, asevera el profesor de la UPM. Los objetivos en ambos casos serían activos como los controles de apertura y cierre de interruptores, el aumento de rotación de centrifugadoras —como en el ataque Stuxnet a centrales nucleares—, las mezcladoras de potabilizadoras para alterar el suministro de agua o los sensores y actuadores de temperatura, que afectan tanto a la producción como a la extinción de incendios.
Fortificar la ciberseguridad industrial
Algunas de las vulnerabilidades más comunes que afectan a los activos en entornos industriales se sostienen por equipos obsoletos o inseguros por falta de actualización, sobre la falta de segmentación —como aislamiento en redes específicas— o carencias de protección frente a ataques intencionados. Una hoja de ruta básica para crear un espacio seguro pasaría, según el experto, por ciertas fases esenciales:
- Formación en ciberseguridad. Se debe capacitar al personal que utiliza los sistemas en cuestiones relacionadas con este tema. Además, es recomendable designar a una persona o un equipo responsable de la ciberseguridad dentro de la organización.
- Identificar las obligaciones legales. Conocer y cumplir con las regulaciones existentes en el ámbito industrial implica establecer un marco normativo y procedimental adecuado que guíe las acciones dentro de la organización.
- Completo y correcto inventario de activos. Consiste en tener un registro de todos los recursos existentes, incluidos equipos, dispositivos y software. Esto ayuda a tener un mejor control sobre ellos y facilita la implementación de medidas de seguridad adecuadas.
- Realizar análisis de riesgos formales. Conlleva evaluaciones sistemáticas de los riesgos cibernéticos que enfrentan los sistemas industriales como identificar posibles amenazas o evaluar su probabilidad de ocurrencia para, así, establecer controles de seguridad que mitiguen estos riesgos.
- Monitorizar las comunicaciones y sistemas. El objetivo es detectar y responder a posibles incidentes de seguridad en tiempo real. Esto implica supervisar las comunicaciones y el tráfico de red, así como el monitoreo continuo de los sistemas en busca de comportamientos anómalos o indicadores de compromiso.
Una de las principales complejidades de esta integración es la dicotomía —aún no resuelta, según el experto— de dos enfoques de la seguridad:
- el safety, protección ante riesgos fortuitos,
- y el security, prevención de daños intencionados.
En el mundo industrial, un sistema certificado el día X es seguro el día X+1 si no ha sido modificado —en cuyo caso debería ser certificado de nuevo—. En el mundo ciber, un producto que es seguro el día X lo seguirá siendo el día X+1 siempre que esté actualizado. El ciclo de vida previsto de los sistemas OT (de muy largo plazo) en el entorno IT (donde la transformación es continua) supone un desafío para la gestión de riesgos.
Un futuro fusionado con la tecnología
Hacer frente a este reto solo es posible, según Lázaro Anguis, a partir de la integración de las mejores prácticas en ciberseguridad con los procesos de gestión de crisis y continuidad de negocio, diseñando estrategias para enfrentar incidentes en infraestructuras críticas. Esto asegura una respuesta efectiva y una rápida recuperación ante posibles amenazas.
Los peligros que acechan a los entornos industriales serán cada vez más complejos, aunque en paralelo con los riesgos se están desarrollando sistemas de predicción y prevención más efectivos y eficientes. La tecnología avanza muy rápidamente y las empresas absorben nuevos contextos a proteger, como el Blockchain, el Internet de las Cosas o las estaciones Cloud. “Si tuviera que elegir una amenaza de futuro, sería la Inteligencia Artificial como adversaria; es decir, el uso que los delincuentes harán de ella para facilitar sus ataques. Paradójicamente, la principal contramedida como aliada de la ciberseguridad será la propia IA al permitir detectar y responder más rápidamente a los ataques”, concluye.
Ha colaborado en este artículo…
Francisco Lázaro Anguis es profesor asociado en la ETSI de telecomunicaciones de la Universidad Politécnica de Madrid y en diversos Másteres Universitarios de Ciberseguridad y Protección de Datos.
Entre su extensa trayectoria, destaca su papel como vocal en el Foro Nacional de Ciberseguridad, su habilitación por el Ministerio del interior como Director de Seguridad y sus galardones de los premios ASLAN, SIC y Huella, entre otros
