Vivimos en el mundo de Internet of Things, con aproximadamente 9.000 millones de dispositivos conectados. Muchos de estos dispositivos son los que hoy en día mantienen en funcionamiento a nuestras infraestructuras críticas; y, al mismo tiempo, se valen de una infraestructura crítica para mantenerse conectados. Actualmente, todos los países son extremadamente dependientes de este tipo de instalaciones: centrales eléctricas, hospitales, medios de transporte, fábricas de producción de alimentos… Son lugares altamente sensibles de los que dependemos todos para llevar a cabo nuestro día a día, pero que con la llegada de la pandemia se han situado aún más en el punto de mira de los ciberdelincuentes.
Y es que las infraestructuras críticas se conectan a la red a través de diversos dispositivos, que los cibercriminales utilizan como vía de entrada para llevar a cabo todo tipo de ciberataques, bien a la propia red de la infraestructura o como acceso a terceros. No en vano, según la encuesta del Global Risk Report 2020, del Foro Económico Mundial, el 76,1% de las compañías encuestadas cree que el riesgo de ataques contra este tipo de infraestructuras va en aumento, por delante de los robos económicos o de datos.
El reto de la seguridad en las infraestructuras críticas
Por eso, hoy en día, la seguridad en las infraestructuras críticas se ha convertido en todo un desafío, por varias razones. Por un lado, en muchas ocasiones, las empresas que producen y fabrican los sistemas que permiten el IoT industrial –como los sistemas de control industrial (ICS), el control de supervisión y adquisición de datos (SCADA), sensores y controladores lógicos programables (PLC), entre otros– en algunos casos priorizan la usabilidad y el diseño frente a la seguridad. Esto, unido a que el largo ciclo de vida de la producción del sector –entre 7 y 20 años– provoca que cualquier sistema de seguridad quede obsoleto incluso antes de que el diseño salga de producción, hacen a las infraestructuras críticas más vulnerables frente a los ciberataques.
La ejecución de sistemas operativos heredados, tener un firmware con contraseñas codificadas, utilizar interfaces web que se ejecutan en HTTP, contar con controles de seguridad muy básicos con números PIN simples o no tener integración de autenticación o cifrado pueden suponer un gran riesgo en el entorno actual, donde la nube, los dispositivos móviles y la alta tasa de conectividad pueden desatar una tormenta perfecta debido a su exposición a la Internet pública. Pero no priorizar la seguridad cuando se trabaja con una infraestructura crítica pueden conllevar riesgos y amenazas de una envergadura mucho mayor que en cualquier otro espacio. Porque, ¿qué pasaría si las luces no se encendieran, la alarma no sonase, la temperatura de casa no subiera en invierno o no hubiera agua para hacer el café y cepillarte los dientes? No es necesario imaginarlo, porque esto ya sucedió hace unos años en Ucrania, donde 86.000 hogares perdieron energía como resultado de un ciberataque. Una realidad para la que, ahora más que nunca, debemos estar preparados.
Las cuentas privilegiadas, el nuevo seguro de las infraestructuras críticas
Una de las claves para mantener la seguridad cuando se implementan IoT y dispositivos inteligentes en una infraestructura crítica es la gestión de las cuentas privilegiadas. De hecho, según Forrester, las cuentas privilegiadas están involucradas en el 80% de las brechas de ciberseguridad. Por lo que para proteger unas instalaciones de estas características es muy importante asegurarse, por un lado, de que las credenciales y contraseñas predeterminadas estén configuradas correctamente. Y, por otro lado, realizar una adecuada gestión de las cuentas privilegiadas para que las empresas puedan garantizar el acceso únicamente a las personas autorizadas, de forma que se protejan estos los dispositivos frente a los intrusos.
También es necesario identificar las cuentas privilegiadas existentes. Porque una vez que se conozcan y estén registradas, se puede habilitar una gestión automatizada de estas cuentas y facilitar la implementación de controles de seguridad adicionales. De esta forma, se evita que los dispositivos conectados se vean comprometidos.
Parece difícil, pero siguiendo una serie de pasos podemos conseguir tener las cuentas privilegiadas protegidas y, por tanto, una infraestructura crítica segura
Para conseguir esto, es recomendable realizar una auditoría para identificar el uso de las credenciales por parte del administrador de TI. También es necesario comprobar que las credenciales están siempre actualizadas y configurar alertas para saber cuándo un administrador cambia una contraseña. Además de auditar continuamente las cuentas con privilegios y no olvidar mantener las credenciales ocultas. Otra de las formas de proteger estas cuentas es habilitar el acceso de terceros de forma segura y practicar la aleatorización de contraseñas, así como eliminar y no aprovisionar las cuentas privilegiadas no utilizadas.
Como ya han experimentado por desgracia en muchos países, un incidente en una infraestructura crítica puede provocar consecuencias desastrosas tanto desde el punto de vista económico como personal. De hecho, hace unas semanas vimos como un ciberataque a un hospital en Düsseldorf causó una víctima mortal como consecuencia de tener sus sistemas bloqueados y no poder ser atendida. Porque la seguridad de estas instalaciones es vital y, por ese motivo, disponer de una buena gestión y protección de los accesos privilegiados pasa de ser una recomendación a una obligación.