wmtech logo

Entendiendo los Ataques a la Tecnología Operativa: El Pasado, Presente y Futuro

Luis Quiles
Luis Quiles
ot
Tecnología Operacional, Seguridad de SCADA

Cuando se leen informes sobre ciberataques que afectan a la tecnología operativa (OT), es fácil dejarse llevar por la exageración y asumir que todos son sofisticados. ¿Pero están realmente los entornos de OT en todo el mundo sitiados por un constante bombardeo de ciberataques complejos? Responder a eso requeriría desglosar los diferentes tipos de ciberataques a la OT y luego revisar todos los ataques históricos para ver cómo se comparan esos tipos.

Los Tipos de Ciberataques a la Tecnología Operativa (OT)

En las últimas décadas, ha habido una creciente conciencia sobre la necesidad de mejorar las prácticas de ciberseguridad en el contraparte menos conocida de las tecnologías de la información (TI), la tecnología operativa (OT). De hecho, las líneas de lo que constituye un ciberataque en la OT nunca han estado bien definidas, y si algo, se han vuelto más borrosas con el tiempo. Por lo tanto, nos gustaría comenzar esta publicación con una discusión sobre las formas en que los ciberataques pueden dirigirse o simplemente afectar a la OT, y por qué podría ser importante hacer la distinción en el futuro.

1 Purdue model

Cómo estamos definiendo la Tecnología Operativa (OT)

Antes de definir cualquier tipo de ciberataque a la OT, necesitamos definir qué consideramos como OT. La mayoría de los entornos de OT son únicos debido a varios factores, como las diferentes aplicaciones y casos de uso, los numerosos ecosistemas de proveedores y el simple hecho de que hay múltiples formas de diseñar un proceso físico, por mencionar algunos. Por ello, es útil recurrir a la Arquitectura de Referencia Empresarial de Purdue (PERA), comúnmente conocida como el Modelo Purdue, representado en la Figura 1.

Desde la parte superior, comienza delineando los niveles 4 y 5 como la Zona Empresarial, donde se encuentra la TI tradicional. A continuación, está el nivel 3.5, la Zona Desmilitarizada (DMZ), que actúa como separador entre la TI y la OT, y, por lo tanto, el perímetro de la OT. Los niveles restantes por debajo de la DMZ son todos de OT. Los niveles 2 y 3 son similares en el sentido de que ambos pueden monitorear, controlar e incluso configurar el entorno físico. Sin embargo, el nivel 2 suele ser específico para una sola celda o proceso, e incluso físicamente cercano, mientras que el nivel 3 generalmente está centralizado, especialmente en organizaciones geográficamente dispersas. El nivel 1 es el corazón de la OT, donde dispositivos como los controladores lógicos programables (PLC) detectarán y actuarán en el mundo físico según la lógica que se les haya proporcionado. Finalmente, llegamos al nivel 0, que, para todos los efectos prácticos, es el mundo físico y contiene los sensores y actuadores que los PLC utilizan para manipularlo.

Security Navigator 2024 está aquí - ¡Descárgalo ahora!

El recién lanzado Security Navigator 2024 ofrece información crítica sobre las amenazas digitales actuales, documentando 129,395 incidentes y 25,076 brechas confirmadas. Más que un simple informe, sirve como una guía para navegar por un paisaje digital más seguro.

¿Qué hay dentro?

•📈 Análisis Profundo: Explora tendencias, patrones de ataque y predicciones. Aprende de estudios de caso en CyberSOC y Pentesting.

•🔮 Preparado para el Futuro: Equípate con nuestras predicciones de seguridad y resumen de investigaciones.

•👁️ Datos en Tiempo Real: Desde vigilancia en la Dark Web hasta estadísticas específicas de la industria.

¡Mantente un paso adelante en ciberseguridad! ¡Tu guía esencial te espera!

🔗Obtén tu copia ahora

Los diferentes tipos de ciberataques a la OT no necesariamente están definidos por los activos que afectan, sino más bien por los activos que son el objetivo y cómo son atacados. Más específicamente, la precisión, el conjunto de habilidades y la intención con la que son dirigidos. Aunque esa distinción puede sonar pedante, cambia el panorama de amenazas que los defensores necesitan considerar y dificulta que los controles de TI tradicionales puedan mantenerse al día. Hay 5 tipos de ciberataques a la OT que pueden agruparse en dos categorías distintas; exploremos cada una de ellas.

Categoría 1: TTPs de TI (Tácticas, Técnicas y Procedimientos de Tecnología de la Información)

La primera categoría de ciberataques sufridos por la OT es la más frecuente en informes públicos. Se caracterizan por el uso exclusivo de tácticas, técnicas y procedimientos (TTPs) de TI, pero aún logran afectar la producción de alguna manera. Hay 3 tipos de ciberataques a la OT en esta primera categoría.

Tipo 1a: Dirigido a TI

El primer tipo, 1a, ocurre cuando el entorno de OT ni siquiera es alcanzado por un adversario. Entonces, en lo que respecta al adversario, su ataque no está dirigido a la OT de la víctima. En cambio, hay impactos en cascada desde un ciberataque de TI no contenido, como la extorsión cibernética (Cy-X) que retrasa los sistemas de envío que requieren que la producción se detenga. Los impactos en la OT de esto pueden variar desde una pérdida temporal de la telemetría hasta una pérdida completa de producción y un proceso complejo y que consume tiempo para volver a ponerlo en línea. Es importante tener en cuenta que cada tipo de ciberataque de TI también puede resultar en una desconexión o apagado del entorno de OT como parte de los esfuerzos de respuesta y recuperación, lo que en última instancia causaría efectos similares.

Tipo 1b: Dirigido a TI/OT

El segundo tipo, 1b, es cuando la OT es alcanzada por un adversario ya sea por accidente o simplemente porque pueden hacerlo. Aún llevando a cabo TTPs de TI, el adversario puede desplegar ransomware o exfiltrar datos para una doble extorsión. Sin embargo, quizás debido a una DMZ débil o inexistente, el ataque del adversario puede extenderse a algunos activos de OT en los niveles 2 o 3 del Modelo Purdue. Los activos de OT afectados pueden incluir dispositivos como estaciones de trabajo de ingeniería, interfaces hombre-máquina (HMI) basadas en Windows y otras tecnologías basadas en TI. Aunque el adversario ha logrado afectar directamente a los activos de OT, el objetivo generalmente no es deliberado. El impacto de este tipo de ataque puede incluir la pérdida de configurabilidad o incluso el control del entorno de OT.

Tipo 1c: Dirigido a OT

El tercer tipo en esta categoría, 1c, es el más matizado y el más cercano en naturaleza a la siguiente categoría. Aquí, un adversario con poca o ninguna capacidad de OT puede dirigir deliberadamente los activos de OT basados en Windows de una organización con TTPs de TI. Esto puede ser para provocar una respuesta más fuerte por parte de la víctima o para causar un impacto más grave que simplemente afectar a la TI. Este tipo de ataque puede dirigirse deliberadamente a los activos de OT, pero solo a aquellos con los que un adversario enfocado en TI estaría familiarizado. De lo contrario, no hay intención o utilización específica de OT en dicho ataque, ni hay precisión en la forma en que se ve afectada la producción. Al igual que con el tipo 1b, el impacto de este tipo de ataque puede incluir la pérdida de configurabilidad o control del entorno de OT, y es probable que la producción solo se vea afectada por efectos en cascada o esfuerzos de respuesta y recuperación.

Categoría 2: TTPs de OT (Tácticas, Técnicas y Procedimientos de Tecnología Operativa)

La segunda categoría incluye los dos tipos que probablemente vienen a la mente cada vez que se mencionan los ciberataques a la OT. Estos se caracterizan por la inclusión de TTPs específicos de OT y tienen la intención principal de afectar directamente la producción de alguna manera.

Tipo 2a: Dirigido a OT, rudimentario

El cuarto tipo general y el primero de la segunda categoría, 2a, a veces se conoce como el ‘ataque molesto’. Este tipo de ciberataque se basa en que el adversario alcance la OT, independientemente de la DMZ. Utiliza conocimientos y TTPs específicos de OT rudimentarios, pero de manera contundente, con poca precisión o complejidad. En lugar de simplemente interrumpir activos basados en Windows como en los ataques de la categoría 1, puede dirigirse a activos de OT en niveles más profundos del Modelo Purdue, más cerca del proceso físico, como PLCs y unidades de telemetría remotas (RTUs). Las técnicas específicas de OT utilizadas son rudimentarias y a menudo utilizan marcos de explotación y herramientas públicamente conocidos. El impacto de este tipo de ciberataque a la OT generalmente implicará detener el ciclo de los PLCs o cambiar imprecisamente las salidas de los PLCs. Esto sin duda afectará la producción, pero estos ataques contundentes suelen ser evidentes y desencadenan una respuesta y esfuerzo de recuperación rápidos.

Tipo 2b: Dirigido a OT, sofisticado

El último tipo, 2b, es el más avanzado pero también el más raramente observado. Al ejercer una capacidad avanzada de OT, estos ciberataques son precisos y complejos tanto en su ejecución como en su impacto. Involucran una comprensión extensa del proceso, una táctica específica de OT para recopilar información para entender el entorno físico y cómo interactúa la OT con él. Los adversarios diseñan un ataque que está hecho a medida para el entorno de OT en el que han ganado una posición y lo afectan de una manera muy deliberada. Los posibles impactos causados por este tipo de ciberataque a la OT son casi ilimitados, pero dependen en gran medida del proceso en consideración. Es poco probable que los impactos sean evidentes o simples, como detener el proceso, a menos que sea de manera extrema y permanente. En cambio, los impactos previstos son más propensos a involucrar, por ejemplo, degradar sigilosamente el proceso o extraer detalles de él para replicarlo en otro lugar.

Por qué esto es importante:

Esto es importante porque parece haber un sesgo hacia los ataques de categoría 1 (como mencionamos anteriormente en este blog), lo que podría estar evitando el tan mencionado apocalipsis de la OT. Muchos de los controles y conceptos actuales de ciberseguridad en la OT se han tomado de la TI, y como tal, son mejores para detectar y prevenir ataques de categoría 1. Sin embargo, a medida que aumenta el acceso al conocimiento y al equipo, y a medida que los adversarios desarrollan mejores capacidades para dirigirse específicamente a la OT, existe una posibilidad real de que veamos un número creciente de ataques de categoría 2. Desarrollar los controles relevantes de ciberseguridad en la OT para detectar y prevenirlos es el primer paso para prepararse para eso. Para hacer esto, necesitamos distinguir las categorías y tipos de ataques para comprender mejor cómo y cuándo están aumentando esos ataques de categoría 2.

35 Años de Ataques Cibernéticos a la OT

Los tipos de ciberataques a la OT que hemos definido y las razones por las que son importantes se basan en algunas afirmaciones audaces. Por lo tanto, en lugar de esperar que tomen nuestra palabra, pensamos que deberíamos ponerlas a prueba. Para hacer esto, hemos recopilado y analizado cada ciberataque a la OT reportado públicamente que pudimos encontrar desde 1988 hasta 2023. A continuación, se muestra un extracto de nuestro análisis; la versión completa y la metodología transparente se pueden encontrar en el Security Navigator 2024.

El aspecto más notable de los 35 años de ciberataques a la OT fue el aumento de ataques perpetrados por ciberdelincuentes a partir de 2020. Este aumento está en línea con el surgimiento de la doble extorsión y, por lo tanto, se ajusta a nuestros datos de Cy-X.

2 Victim count per sector over time

El surgimiento de la doble extorsión no solo cambió los tipos generales de adversarios que atacan la OT; también cambió los sectores víctimas afectados. Cuando desglosamos los sectores víctimas por año, también observamos un cambio significativo de una variedad de sectores a estar fuertemente centrados en la fabricación. Sin embargo, dado que Cy-X tiende a favorecer el objetivo de la fabricación, esto tiene sentido.

3 flow adversaries category purdue depth

La Figura 3 nos muestra los flujos de ciberataques a la OT. El año de un ataque, agrupado en intervalos de 5 años para mayor claridad, fluye desde la izquierda hacia el adversario que llevó a cabo el ataque. El flujo del ataque continúa desde el adversario hacia la categoría de ciberataque a la OT, pasando por el tipo. Finalmente, el tipo de ataque fluye hacia una representación del nivel más profundo del Modelo Purdue que el ataque alcanzó en términos de objetivo (puede haber impactado completamente a la OT, incluso desde el Nivel 5).

La conclusión inmediata de esta visualización es el aumento drástico en la frecuencia de los ataques en 2020, que mayoritariamente vio a criminales cometiendo TTPs de TI contra objetivos de TI, resolviendo en los niveles 4 y 5 del Modelo Purdue. Esto refuerza las dos narrativas que describimos ocurriendo antes y después del advenimiento de la doble extorsión en 2020.

Profundizando en un análisis más detallado de las categorías y tipos, queda claro que un número significativamente mayor de ciberataques que causan impacto en la OT son de categoría 1 y utilizan solo TTPs de TI en un 83% del total. Esto se ve reforzado por la gran representación de ataques de tipo 1a, que específicamente apuntan a la TI, lo que significa los niveles 4 y 5 del Modelo Purdue, con un 60% del total. En comparación, los ataques que incluían el uso de TTPs de OT estaban poco representados en un 17% del total.

Entonces, ¿a dónde vamos desde aquí? ¿Qué deparará el futuro? ¿Son todos los ciberataques a la OT simplemente TTPs de TI dirigidos a objetivos de TI e impacto en la OT circunstancial? ¿O podríamos ver el implacable asalto de los criminales volverse hacia ataques de categoría 2 para una mayor brutalidad?

¿Los criminales recurrirán a TTPs de OT?

Independientemente de las organizaciones que utilicen la OT, los actuales ataques de Cy-X del tipo 1a parecen ser relativamente lucrativos para los criminales, y la pandemia verdadera puede empeorar antes de mejorar. Sin embargo, si las organizaciones comienzan a desarrollar resistencia a los ataques de Cy-X contemporáneos, ya sea a través de buenos procesos de respaldo u otros medios, es lógico que el modus operandi (MO) criminal cambie. Dada la prevalencia de organizaciones que utilizan OT como víctimas de Cy-X, ¿podríamos ver ese cambio en el MO hacia ataques cibernéticos a la OT de categoría 2? Afortunadamente, para facilitar una discusión en torno a esa pregunta, podemos recurrir a la teoría de la actividad rutinaria (RAT, por sus siglas en inglés).

La RAT es una teoría criminológica que establece que un crimen será probable que ocurra si están presentes tres elementos: un delincuente motivado, un objetivo adecuado y la ausencia de un guardián capaz. Aquí proporcionaremos una breve discusión sobre cada punto basada en lo que hemos visto hasta ahora.

Delincuente motivado

Como se puede observar en los datos de ciberataques a la OT que hemos presentado aquí, por cualquier motivo, los criminales actualmente tienen una predilección por las organizaciones que utilizan OT. Además, la forma en que los actuales ataques de Cy-X afectan descuidadamente los entornos de OT de sus víctimas deja en claro que los criminales no están preocupados por las consecuencias físicas. O bien, posiblemente estén incluso causando amenazas a la seguridad de manera intencional. Por último, si vemos que los pagos de rescate por ataques de Cy-X centrados en TI disminuyen, es probable que eso presione a los criminales a cambiar su MO a algo para lo cual sus víctimas estén menos preparadas defensivamente.

Objetivo adecuado

Los criminales pueden estar específicamente apuntando a organizaciones que utilizan OT porque ven el efecto de impactar en la producción como valioso. Si los métodos existentes para hacer esto, como los ataques de Cy-X de tipo 1a, disminuyen en confiabilidad, es posible que los criminales busquen dirigirse directamente a la OT. En nuestros datos, el 40% de todos los ciberataques a la OT y el 16% de los realizados por criminales lograron llegar a la tecnología operativa para afectarla. Estos fueron ataques cibernéticos a la OT de tipo 1b, 1c, 2a o 2b. Los adversarios y, en menor medida, los criminales ya están accediendo a los entornos de OT. Si necesitaran acceso para dirigirse deliberadamente a la OT, no es inconcebible que los criminales pudieran lograrlo.

Una consideración importante con respecto a si la OT es un objetivo adecuado es su contexto poco familiar para la mayoría de los criminales. Sin embargo, aunque necesitarían desarrollar capacidad técnica, hay una base creciente de conocimientos de ciberseguridad en la OT en forma de cursos, libros, charlas e incluso conferencias dedicadas de las cuales podrían aprender. Además, los dispositivos de OT como los PLC y los HMI están volviéndose menos prohibitivamente costosos para el aprendizaje y la eventual prueba de ataques. Todo esto culmina en la reducción de las barreras de entrada desde una perspectiva técnica.

El punto más fundamental de este componente es la idoneidad de la organización víctima en sí misma. Esta idoneidad incluye una gran superficie de ataque, tiempo disponible para que el adversario realice el ataque y el valor específico que pueden tener los activos para la víctima. Como podemos ver en los ataques de Cy-X históricos, los adversarios ya están encontrando muchas vulnerabilidades para explotar en sus víctimas y claramente no suelen encontrar lo que se describiría como ciberseguridad de práctica óptima.

El tiempo de actividad y la eficiencia de un entorno de OT a menudo están bien cuantificados, lo que significa que el valor del impacto de la OT probablemente no sea tan nebuloso como los datos encriptados o filtrados. Todo esto presenta un objetivo claramente adecuado en las organizaciones que utilizan OT.

Ausencia de un guardián capaz

Si los criminales consideran alejarse de llevar a cabo ciberextorsiones de categoría 1 con TTPs de TI, será principalmente en respuesta a una supervisión efectiva de los controles de ciberseguridad de TI. Por lo tanto, pueden pasar a aprovechar el desafío que implica defenderse contra los TTPs de OT debido a la falta de controles disponibles específicamente diseñados para la OT.

Los controles de seguridad técnica no son la única forma de guardián capaz, por supuesto. RAT considera otras formas de supervisión, como la informal (comunitaria) y la formal. Esta última, la supervisión formal, implica esfuerzos realizados por las fuerzas del orden y los gobiernos. En última instancia, la OT enfrentará los mismos desafíos para interrumpir el ecosistema criminal, por lo que la ausencia de un guardián capaz, o su efectividad para interrumpir el crimen, es una perspectiva realista.

Un POC: "PLC del Hombre Muerto"

Aunque hemos estado considerando si puede haber un cambio hacia que los criminales apunten a la OT con ciberataques de categoría 2, hemos estado trabajando en una investigación interesante y especulativa. Ha culminado en una técnica novedosa y pragmática de Cy-X específicamente dirigida contra dispositivos de OT; en particular, PLC y sus estaciones de trabajo de ingeniería acompañantes. Lo llamamos PLC del Hombre Muerto.

El PLC del Hombre Muerto comienza en la estación de trabajo de ingeniería, el activo donde los ingenieros crearán configuraciones y las cargarán en los PLC en todo el entorno de OT. Como hemos visto, no hay escasez de ciberataques a la OT que lleguen a las profundidades del Modelo Purdue donde pueden residir las estaciones de trabajo de ingeniería, generalmente en los niveles 2 o 3 dependiendo de numerosos factores.

Cuando el criminal está en la estación de trabajo de ingeniería, puede ver el código PLC existente ‘en vivo’ en sus archivos de proyecto, editarlo y descargar nuevas configuraciones en los PLC. El PLC del Hombre Muerto aprovecha esta capacidad, así como la funcionalidad existente de OT y los controles de seguridad poco utilizados, para mantener todo el proceso operativo de la víctima y, por extensión, el mundo físico, como rehén.

El PLC del Hombre Muerto funciona agregando al código PLC legítimo y operativo para crear una red de monitoreo encubierta, donde todos los PLC permanecen funcionales pero están constantemente interrogándose entre sí. Si la red de interrogación detecta algún intento por parte de la víctima de responder al ataque, o si la víctima no paga su rescate a tiempo, el interrogatorio cesará, y el PLC del Hombre Muerto se activará de manera similar a un interruptor de hombre muerto y detonará. La detonación implica desactivar el código PLC legítimo, que es responsable del control y la automatización del proceso operativo, y activar código malicioso que causa daño físico a los dispositivos operativos. Esto deja a la víctima sin otra opción realista que pagar su rescate; su único otro método de recuperación es cerrar y reemplazar torpemente cada PLC afectado en su proceso operativo, lo que les costará tiempo de producción perdido, productos dañados y el costo de nuevos activos.

Si desea leer más sobre el PLC del Hombre Muerto y cómo funciona, consulte el documento de investigación dedicado sobre este tema.

Resumen: ¿Qué significa todo esto?

Este análisis ha explorado la historia de los ciberataques a la OT para entender el panorama cambiante y lo que podríamos enfrentar en el futuro inminente. Los datos recientes desde 2020 en adelante, cuando se dividen en sus categorías y tipos, muestran que no deberíamos creer en la exageración de los ciberataques a la OT. En cambio, deberíamos centrarnos en abordar el problema de la ciberextorsión en sí misma a corto plazo. Esto significa construir resiliencia operativa y confianza en nuestra OT para resistir los ataques en los Niveles 4 y 5 del Modelo Purdue. Sin embargo, somos conscientes de que esto es más fácil decirlo que hacerlo.

No sería prudente declarar categóricamente que los criminales van a comenzar a atacar la OT con técnicas novedosas de ciberextorsión en respuesta a pagos de rescate menos confiables.

Sin embargo, tampoco sería prudente decir que esto nunca va a suceder. A riesgo de quedarnos en la cerca, diremos que existe una posibilidad genuina de que veamos que la ciberextorsión evolucione para atacar activos específicos de la OT, simplemente podría tomar un grupo de ciberextorsión particularmente innovador para hacerlo.

Esta es solo una versión abreviada de una de las historias que se encuentran en el Security Navigator. Otros emocionantes investigaciones, como un estudio sobre el Hacktivismo y un análisis del aumento de la Ciberextorsión (así como un montón de otros temas de investigación interesantes), también se pueden encontrar allí. Es gratis, así que échale un vistazo. ¡Vale la pena!

Nota: Este artículo informativo ha sido expertamente elaborado y contribuido por el Dr. Ric Derbyshire, Investigador Senior de Seguridad, Orange Cyberdefense.

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Descubre los últimos artículos del blog sobre seguridad cibernética.