Los ciberataques no son ninguna novedad, pero es un hecho que las tácticas empleadas van en constante evolución, haciéndose cada vez más sofisticadas y peligrosas. A continuación, los seis nuevos elementos más comunes identificados por Kaspersky en su labor de respuesta a estos incidentes:
1. Falta de aislamiento de la red de tecnología operativa (OT). Los expertos de la compañía han presenciado casos en los que existen problemas para separar la red de tecnología operativa y mantenerla segura. Por ejemplo, hay máquinas, como las de estaciones de trabajo de ingeniería, que están conectadas tanto a la red de TI normal como a la red de OT.
Cuando el aislamiento de la red OT depende únicamente de la configuración de los equipos de la red, los atacantes experimentados pueden reconfigurar esos equipos para su beneficio. Por ejemplo, pueden convertirlos en servidores proxy para controlar el tráfico de malware o incluso utilizarlos para almacenar y enviar malware a redes que se creían aisladas. Hemos sido testigos de este tipo de actividades maliciosas en múltiples ocasiones.
Evgeny Goncharov, jefe del Equipo de Respuesta a Emergencias Cibernéticas de Sistemas de Control Industrial en Kaspersky
2. El factor humano sigue siendo motor de las actividades cibercriminales. Cuando se da acceso a empleados o contratistas a las redes de tecnología operativa, a menudo se pasan por alto las medidas de seguridad de la información. Los programas para administración a distancia, como TeamViewer o Anydesk, configurados inicialmente de forma temporal, pueden estar activos de forma permanente, sin ser detectados, por lo que los atacantes pueden explotarlos fácilmente.
Una posible solución en situaciones como esta puede ser el Zero Trust, concepto que supone que dentro del sistema no se confía en el usuario, ni en el dispositivo o aplicación. Kaspersky extiende el enfoque de Confianza Cero hasta el nivel del Sistema Operativo con sus soluciones basadas en KasperskyOS.
3. Protección insuficiente de los activos de la red de tecnología operativa. En sus análisis, los expertos de Kaspersky también han descubierto bases de datos de soluciones de seguridad desactualizadas, claves de licencia faltantes, claves eliminadas por el usuario, componentes de seguridad desactivados, así como exclusiones excesivas del análisis y la protección. Todo esto contribuye a la propagación de malware.
4. Configuraciones inseguras de las soluciones de seguridad. Configurar adecuadamente las soluciones de seguridad es crucial para evitar que se desactiven o sean vulneradas por los grupos de APT. Estos pueden robar información de la red de las víctimas que se almacena en estas soluciones para ingresar a otras partes del sistema, o moverse lateralmente, usando un lenguaje profesional de seguridad de la información.
En 2022, Kaspersky notó una nueva tendencia en las tácticas APT, lo que hace indispensable contar con las configuraciones adecuadas. Por ejemplo, cuando buscan moverse lateralmente, los atacantes ya no se limitan a secuestrar sistemas de TI críticos, como el controlador de dominio, sino continuar al siguiente blanco: los servidores de administración de las soluciones de seguridad. Los objetivos pueden variar, desde poner malware en programas que no son revisados, hasta propagarlo a otros sistemas, incluso a aquellos que se supone que están completamente separados de la red infectada.
5. La ausencia de protección de ciberseguridad en las redes OT. Puede ser difícil de creer, pero en muchos endpoints de las redes de tecnología operativa no han sido instaladas las soluciones de ciberseguridad. Incluso si la red OT está completamente separada de otras redes y no está conectada a Internet, los atacantes tienen formas de obtener acceso a ella. Por ejemplo, pueden crear versiones especiales de malware que se distribuyen a través de unidades extraíbles, como los USBs.
6. Retos en las actualizaciones de seguridad de estaciones de trabajo y servidores. Los sistemas de control industrial tienen una forma única de funcionar, donde incluso tareas sencillas, como instalar actualizaciones de seguridad en estaciones de trabajo y servidores, necesitan pruebas cuidadosas. Éstas suelen realizarse durante el mantenimiento programado, lo que hace que las actualizaciones sean poco frecuentes y da a los agentes de amenazas el tiempo necesario para explotar las debilidades conocidas y atacar.
En algunos casos, actualizar el sistema operativo del servidor requiere de la actualización de un software especializado (como el servidor SCADA) y, a su vez, del equipo mismo; todo eso puede resultar demasiado costoso. En consecuencia, se encuentran sistemas obsoletos en las redes de sistemas de control industrial. Sorprendentemente, incluso los sistemas conectados a Internet en empresas industriales, que pueden ser relativamente fáciles de actualizar, pueden permanecer vulnerables durante mucho tiempo. Esto expone la tecnología operativa (OT) a ataques y riesgos graves, como lo han demostrado los escenarios de ataques en el mundo real”.
Evgeny Goncharov, jefe del Equipo de Respuesta a Emergencias Cibernéticas de Sistemas de Control Industrial en Kaspersky