Durante el año 2022, España se posicionó como el cuarto país europeo con mayor cantidad de ciberataques a sistemas de control industrial. Más del 40% de los sistemas OT (Tecnología Operativa) en el país se vieron afectados por software maliciosos ese año, una tendencia que se ha acelerado con la adopción de nuevas tecnologías en el sector industrial, diseñadas para mejorar la productividad y la gestión. No obstante, estos avances conllevan riesgos inherentes que, si no se gestionan adecuadamente, pueden comprometer la seguridad de los entornos industriales.
El artículo investigará los riesgos relacionados con los PLC (Controladores Lógicos Programables), uno de los dispositivos más críticos en el entorno industrial, y la importancia de abordar estos peligros para mantener la seguridad y la eficiencia operativa.
Las fases de un ciberataque a un PLC suelen seguir una serie de pasos básicos:
Acceso: Los atacantes primero buscan acceso remoto a la red de PLC de una planta industrial. La implementación de una arquitectura de seguridad en profundidad es esencial para dificultar este acceso, obligando a los atacantes a superar múltiples barreras de seguridad.
Descubrimiento: En esta etapa, los atacantes recopilan información sobre los PLC, su configuración, medidas de seguridad y comunicaciones. Para dificultar esta fase, es fundamental bastionar adecuadamente los PLC, restringir el acceso a configuraciones, cifrar comunicaciones y mantener la red de producción monitorizada.
Control: Una vez recopilada la información necesaria, los atacantes intentan obtener acceso a la configuración de los PLC. Esto puede lograrse mediante credenciales por defecto o explotando vulnerabilidades en equipos no actualizados.
Daño o Impacto: Adquirido el control, el atacante puede proceder a exfiltrar información confidencial, alterar o detener la producción, causando impactos significativos en la operativa de la planta.
Ofuscación: Finalmente, los atacantes intentan ocultar sus técnicas y la extensión del ataque para poder volver a infectar los equipos tras ser recuperados.
Los efectos de un ciberataque en un PLC pueden ser devastadores. En plantas industriales, la prioridad es mantener la disponibilidad del sistema de control. Los ataques pueden causar daños a equipos, alteraciones en el proceso productivo, incrementos en los costes operativos y consecuencias legales. Entre los daños, se destacan el estrés de los equipos, manipulación de límites de seguridad y alteraciones en la calidad de los productos y tasas de producción.
El peritaje de un PLC tras un ciberincidente busca evaluar y determinar las causas y el origen del ataque. Este proceso debe ser realizado por personal especializado utilizando herramientas como el Microsoft ICS Forensics Framework, diseñada para el análisis forense de metadatos de PLC.
Para proteger los PLC, la normativa IEC-62443 es la más aceptada y extendida. Este marco normativo se divide en cuatro dominios de ciberseguridad, abarcando desde el nivel de gestión de la empresa hasta la operación de cada dispositivo. Las normas 62443-4-1 y 62443-4-2 son especialmente relevantes para la ciberseguridad en PLC.
En conclusión, los sistemas de control industrial son fundamentales para la operativa diaria de las empresas industriales, con los PLC como su piedra angular. La evolución de las amenazas y la convergencia de los entornos IT y OT han hecho a los PLC más accesibles y vulnerables. Es crucial implementar medidas de protección, bastionado y gestión adecuada de estos dispositivos para asegurar su operación segura y cumplir con los objetivos empresariales.
Contenido realizado en el marco de los fondos del Plan de Recuperación, Transformación y Resiliencia del Gobierno de España, financiado por la Unión Europea (Next Generation).
