El papel del factor humano en la Ciberseguridad. Parte 2

Publicado: 28/06/2017

Proviene de la Parte 1.

 

MÉTODOS PARA AMENAZAR UN SISTEMA

Cuando las amenazas intencionadas intentan atacar un sistema, aunque cada uno suele utilizar métodos particulares, sí que se pueden llegar a establecer procedimientos generales.

En términos de Ciberseguridad, a estos procedimientos se les llama vectores de ataque. Cabe destacar:

· Robo

Sustracción de información y datos relevantes de la empresa, incluyendo información propia del proceso industrial, de la configuración y parámetros de los sistemas de automatización y control, de las protecciones... También puede incluir el robo de equipamiento físico o lógico, como puede ser un router industrial, un PLC programable o un contador, así como el cobre de los cables utilizados en las infraestructuras de comunicaciones...

· Destrucción física

La destrucción física puede aplicarse tanto a infraestructuras como a equipamiento. La destrucción física puede incluir el sabotaje de un transformador, de una tubería... La destrucción de equipamiento también puede ocurrir por un mal uso del mismo: por ejemplo, a consecuencia de una reprogramación incorrecta o al forzado de valores no adecuados en el control de un proceso industrial.

· Malware

El malware son programas maliciosos diseñados con múltiples propósitos (por ejemplo: denegación de servicio, espionaje, inclusión de una puerta trasera, sabotaje...). Entre los resultados de sus acciones se pueden encontrar la ralentización de los sistemas (por ejemplo: inundación de red), la captura (por ejemplo: grabación de audio, vídeo, pulsaciones de teclado...) y envío de información para su tratamiento, modificación de funciones y su ocultamiento, establecimiento de un control remoto...

Stuxnet y DuQu son dos de los principales exponentes de programas maliciosos dirigidos contra sistemas de automatización y control. Fueron diseñados, presuntamente, por los servicios de inteligencia estadounidense e israelí, con los respectivos objetivos de sabotear y realizar labores de inteligencia sobre el programa nuclear iraní.

Factor humano Ciberseguridad Planta Nuclear

· Manipulación de comunicaciones

Consiste principalmente en realizar capturas de tráfico, inyecciones de tramas, modificación de la información en tránsito... aprovechando las debilidades de los protocolos en uso.

· Escalado de privilegios

Consiste en aprovechar un fallo, defecto de diseño, o un descuido por parte del administrador en la configuración de un sistema operativo o una aplicación de software, para obtener acceso a los recursos que normalmente están protegidos de una aplicación o usuario.

· Inyección de código

La inyección de código consiste en aprovechar las debilidades de programación de las aplicaciones, tanto Web como de escritorio, para obtener información a través de entradas de datos destinadas a otra función, como por ejemplo, utilizar campos de formularios para obtener información de las bases de datos.

Como ejemplo dentro de los sistemas de control y automatización, los ataques de inyección de código se pueden utilizar en los sistemas Interfaz Humano-Máquina [HMI] a fin de sacar información sobre la configuración de variables en un PLC, y su mapeo con el SCADA.

· Denegación de servicio (DoS)

Las denegaciones de servicio consisten en impedir la comunicación o el funcionamiento de un dispositivo o servicio. En el caso de las denegaciones a las comunicaciones, éstas se sirven de las debilidades existentes en los protocolos de comunicación.

Como ejemplo práctico, en el caso de una denegación de servicio sobre un PLC programable, un atacante inundaría de peticiones a uno de los servicios publicados en el dispositivo (por ejemplo, el servicio Web desde el que se administra su configuración), hasta que éste sea incapaz de procesarlas en tiempo real, consumiendo todos los recursos computacionales y provocando inconsistencias, tanto en el servicio como en el propio dispositivo en el que se encuentra publicado.

· Spoofing

Uso de diversas técnicas para realizar una suplantación de identidad con intención maliciosa.

· Repetición

Los ataques por repetición consisten en la inyección de tráfico que ha sido capturado previamente, y en muchas ocasiones también manipulado, para hacer que el proceso falle o realice acciones incorrectas.

Por ejemplo, en protocolos industriales como DNP3 e IEC 104 se puede producir este tipo de ataque, debido a los escasos bits utilizados para la numeración de tramas; el tráfico capturado se puede reinyectar y éste será válido en un escaso periodo de tiempo.

· Ingeniería social

Muchas de las técnicas que amenazan a la seguridad que aprovechan el factor humano se basan en la ingeniería social. Esta es una mezcla entre ciencia, psicología y arte, por la que se intenta influir o manipular a una persona para que lleve a cabo acciones o facilite información confidencial, normalmente en contra de sus intereses. Se trata habitualmente de técnicas psicológicas que combinadas con ciertas habilidades sociales se aprovechan de la buena (o mala) fe de las personas de dentro de una organización, para que realicen determinadas acciones (como por ejemplo instalar software malicioso) u obtener de ellas información o acceso a zonas restringidas, y poder así llevar a cabo un ataque con éxito.

Factor humano Ciberseguridad Ingeniería Social

Se suelen utilizar herramientas de comunicación clásicas como el correo electrónico, teléfono, etc, así como las redes sociales, como Twitter, Facebook, foros, etc.

Diferentes expertos en seguridad han demostrado con distintas pruebas y experimentos que es muy sencillo obtener información confidencial de empresas, bancos, hospitales, etc. con tan sólo una búsqueda en Internet de algunos datos del objetivo y una simple, pero muy convincente, llamada de teléfono.

Imagina que te llaman y te dicen: “Hola, soy David, del departamento informático. Estamos teniendo problemas con la red y necesitamos reiniciar tu equipo. ¿Podrías hacerlo ahora?, o si no mejor: ¿podrías facilitarme tu usuario y clave para poder hacerlo nosotros en remoto esta noche?”.

Tampoco solemos pedir identificación a la persona que pasa detrás de nosotros en la puerta de acceso sin fichar (incluso le sujetamos la puerta), o al técnico que viene a mirar un momento el ordenador. Muchos somos confiados por naturaleza, y la ingeniería social aprovecha ese exceso de confianza y nuestras ganas de agradar para obtener lo que busca: acceso al edificio, credenciales, instalar un malware en un equipo, etc.

A veces es el propio empleado el que de forma consciente (ya sea por venganza, por dinero, por coacción, etc.) proporcione la información al atacante o incluso lleve él mismo a cabo el ataque.

· Phishing

El phishing es una técnica de ingeniería social que busca obtener información confidencial/ relevante de forma fraudulenta a través de la suplantación de identidad de una persona o empresa de confianza para la persona atacada. Las amenazas de phishing suelen relacionarse habitualmente con el entorno bancario y el robo de información sobre tarjetas de crédito, pero también puede utilizarse para conseguir credenciales de acceso.

· Spam

El spam consiste en el envío de mensajes de forma masiva incluyendo información no solicitada, no deseada o de origen desconocido, generalmente asociado con publicidad y que puede hacer al usuario perder el tiempo, atendiendo a información que no es de interés o utilidad para él.

Las técnicas de spam se utilizan también para recabar información y direcciones de correo de usuarios, a los que posteriormente atacar mediante el envío de otros mensajes de spam, phishing o incluso malware.

Factor humano Ciberseguridad Spam

 

OTROS FACTORES DE RIESGO EXISTENTES A TENER EN CUENTA

Es importante tener en cuenta otros factores de riesgo existentes, por ejemplo:

· Distintas culturas del personal técnico

No decimos nada nuevo cuando afirmamos que entre el personal dedicado a los sistemas de control y automatización y el personal encargado de los sistemas corporativos (IT) hay confrontaciones. De hecho, es habitual que la comunicación y el entendimiento entre los departamentos sea prácticamente inexistente. Esto suele ser debido a varios factores:

i) Los sistemas de los que son responsables tienen diferentes propósitos: la tarea más importante para un sistema de control está en que los procesos funcionen adecuadamente, mientras que en los sistemas corporativos lo que prima es facilitar el trabajo diario de las personas de la organización.

ii) El lenguaje que utilizan es diferente: en el ámbito de los sistemas de control prima el lenguaje industrial, mientras que en sistemas de TI corporativos prima el informático. Por lo tanto, la terminología utilizada es en general distinta.

iii) Falta de una estructura y procesos organizativos que fomenten la colaboración: es habitual en las empresas industriales que los responsables de sistemas de TI y de control pertenezcan a direcciones totalmente independientes, e incluso a empresas del grupo distintas, por lo que el trabajo en equipo y la colaboración no se fomentan.

 

· Falta de formación y concienciación

La falta de formación en Ciberseguridad de los trabajadores de sistemas de control y automatización es otro factor de riesgo habitual, más aún cuando, los antiguos sistemas de control, sistemas aislados y cerrados, sin ningún tipo de conexión con el exterior, han dado paso a sistemas interconectados, accesibles, basados en software base comercial.

Ahora, aprender a identificar las interdependencias entre dispositivos y el riesgo resultante desde una perspectiva de Ciberseguridad es fundamental.

Por otro lado, la formación del personal de TI en el correcto uso y aplicación de herramientas de seguridad propias del entorno de oficina en los sistemas de control y automatización es clave también. Es fundamental que tengan unos conocimientos de base sobre el funcionamiento de estos sistemas. Al ser sistemas en muchos casos totalmente desconocidos para ellos no van a ser conscientes de los factores limitantes que estos imponen: protocolos diferentes del entorno de TI, determinismo y tiempos de respuesta muy exigentes, uso de sistemas operativos propietarios, limitaciones en recursos hardware, inexistencia de mecanismos de seguridad básicos como el registro de eventos, disponibilidad 24x7, etc.

 

· Percepciones erróneas por parte de los fabricantes

De alguna manera, relacionado con lo ya explicado en el punto anterior, los fabricantes tanto de sistemas de control como de soluciones de seguridad, han de asumir su parte de responsabilidad en este proceso de mejora de la Ciberseguridad de los entornos industriales y de infraestructuras. Aunque ya se empiezan a dar pasos en la buena dirección, (como eWON, donde la seguridad es la máxima prioridad) por desgracia todavía falta mucho por hacer en este sentido.

Las actuales soluciones de Ciberseguridad, son soluciones que han sido diseñadas para resolver la problemática de seguridad de los entornos de oficina o de TI, y no suelen tener en cuenta las necesidades de los sistemas de control y automatización ya descritas anteriormente.

Fabricantes de seguridad TI

Fabricantes industriales

Obvian las particularidades del entorno industrial

No consideran la seguridad una prioridad

Herramientas ineficaces

Impacto negativo en el proceso

Falta de cualificación

Seguridad por defecto inexistente

Carencias de desarrollo y diseño seguro

Falta de configuración, despliegue y mantenimiento seguro

 

Por otro lado, los propios fabricantes de sistemas y aplicativos de automatización y de control, tienen también su particular responsabilidad. Resulta fundamental que estos fabricantes, capaciten a sus trabajadores, y cambien sus procesos internos, a fin de que la nueva generación de software y equipamiento de automatización y control industrial siga unas pautas de diseño y desarrollo seguro, incluya por defecto mecanismos de seguridad (por ejemplo: criptografía, deshabilitar puertos y servicios innecesarios, etc.), y cuente con recomendaciones y recursos auxiliares de configuración, despliegue y mantenimiento seguro. Para lograrlo, además de la propia formación de sus trabajadores, será fundamental la colaboración con fabricantes de soluciones de Ciberseguridad, ya que son quienes tienen el verdadero conocimiento en este campo.

 

4. ¿QUIEN SE ENCARGA DE GESTIONAR LA CIBERSEGURIDAD EN UNA EMPRESA? POLÍTICAS Y PROCEDIMIENTOS

Un Sistema de Gestión de la Seguridad de la Información (SGSI) es para una organización el diseño, implantación, mantenimiento de un conjunto de procesos para gestionar eficientemente la accesibilidad de la información, buscando asegurar la confidencialidad, integridad y disponibilidad de los activos de información minimizando a la vez los riesgos de seguridad de la información.

El encargado de supervisar la implementación del SGSI es una figura de reciente creación, el llamado CSO (Chief Security Officer) o el CISO (Chief Information Security Officer).

Normalmente seguirá algún estándar internacional, como la UNE-ISO/IEC 27001:2007 y se responsabilizará de definir unas políticas de seguridad conforme a una estrategia general de seguridad de la empresa.

De hecho, la RFC 2196 define política de seguridad como una declaración formal de las reglas de las personas que tienen acceso a la tecnología de información de una organización deben seguir, con el principal objetivo de informar a estos usuarios de sus obligaciones para proteger los activos de la organización.

Ejemplos:

· Política de uso aceptable: se define lo que la organización permite y no permite hacer a los empleados con los activos.

Factor humano Ciberseguridad Política de uso aceptable

· Política de conciencia de seguridad: se especifica cómo se asegura que el personal tiene la conciencia necesaria acerca de la seguridad de la información.

· Política de clasificación de activos: define cómo se realiza un inventario de los activos según su criticidad.

· Política de seguridad física y mesas limpias: define cómo establecer seguridad de forma física y el concepto de dejar las mesas limpias, para evitar fugas de información. Estructura del edificio,

Una política de seguridad deriva en unos estándares de seguridad, que definen unos procedimientos de seguridad, en los cuales hay unos planes de seguridad complementados con unas guías y mejores prácticas.

 

BIBLIOGRAFIA

· Curso de Ciberseguridad: ataques y contramedidas por la URJC Online.

· Curso de Seguridad en Sistemas de Control y Automatización Industria por INCIBE.

· Wikipedia

 

(P.D. del editor: te recomendamos que curses los dos MOOC mencionados en la Bibliografía, dos cursos muy completos para obtener una visión clara de todo lo relacionado con la Ciberseguridad. Probablemente, los dos mejores MOOCs gratuitos que existen en la red. ¡Y en español!)