{"id":28159,"date":"2022-12-11T13:36:29","date_gmt":"2022-12-11T11:36:29","guid":{"rendered":"https:\/\/www.kaspersky.es\/blog\/?p=28159"},"modified":"2022-12-11T13:36:29","modified_gmt":"2022-12-11T11:36:29","slug":"updating-ot-infrastructure","status":"publish","type":"post","link":"https:\/\/www.kaspersky.es\/blog\/updating-ot-infrastructure\/28159\/","title":{"rendered":"El ant\u00eddoto contra el conservadurismo de la tecnolog\u00eda operativa"},"content":{"rendered":"

Llevo dici\u00e9ndolo a\u00f1os: el antivirus ha muerto<\/a>.<\/p>\n

Esto puede sonar extra\u00f1o al principio, sobre todo viniendo de alguien que estuvo moviendo los hilos desde el principio<\/a> de todo lo relacionado con virus y antivirus a finales de los ochenta<\/a> y principios de los noventa<\/a>. Sin embargo, si profundizamos un poco m\u00e1s en el tema AV (D. E. P.) y consultamos algunas fuentes autorizadas en este (antiguo) campo, la afirmaci\u00f3n parece bastante l\u00f3gica: por un lado, los \u201cantivirus\u201d se han convertido en soluciones de protecci\u00f3n \u201ccontra todo\u201d y, por otro, el virus, como una especie particular de programa malicioso, se ha extinguido. Casi<\/em>. Y es ese aparentemente inofensivo, casi<\/em> insignificante que acabo de describir lo que causa problemas en la ciberseguridad actualmente, \u00a1a fines del a\u00f1o 2022! Y esa es casi<\/em> la base de esta entrada de blog de hoy\u2026<\/p>\n

As\u00ed que, virus. Los \u00faltimos que quedan en la Lista Roja<\/a>: \u00bfd\u00f3nde est\u00e1n ahora y qu\u00e9 est\u00e1n haciendo\u2026?<\/p>\n

Resulta que tienden a residir en uno de los subcampos m\u00e1s conservadores de la automatizaci\u00f3n industrial: el de la tecnolog\u00eda operativa<\/a> (OT<\/em>, que no debe confundirse con TI<\/em>). La OT es el \u201chardware<\/em> y software<\/em> que detecta o provoca un cambio, a trav\u00e9s de la supervisi\u00f3n y\/o el control directo de los equipos, activos, procesos y eventos industriales\u201d (Wikipedia). B\u00e1sicamente, la OT est\u00e1 relacionada con un entorno de sistemas de control industrial (ICS por sus siglas en ingl\u00e9s).<\/p>\n

OT = sistemas de control especializados en f\u00e1bricas, centrales el\u00e9ctricas, sistemas de transporte, sector de servicios p\u00fablicos y la extracci\u00f3n, el procesamiento y otras industrias pesadas. S\u00ed, infraestructura, y a menudo infraestructura cr\u00edtica<\/em>. Y s\u00ed de nuevo: es en esta infraestructura industrial\/cr\u00edtica donde los virus inform\u00e1ticos \u201cmuertos\u201d se encuentran vivos y coleando: alrededor del 3 % de los incidentes cibern\u00e9ticos a ordenadores OT<\/a> son a causa de este tipo de malware<\/em>.<\/p>\n

Pero \u00bfc\u00f3mo?<\/p>\n

En realidad, la respuesta ya le he dado: la OT, m\u00e1s bien, su aplicaci\u00f3n en la industria, es muy conservadora. Si existe un campo que cree firmemente en el viejo dicho \u201c\u00a1si no est\u00e1 roto, no lo arregles!\u201d, ese es la OT. Lo principal en este campo es la estabilidad, no las \u00faltimas tendencias. Las nuevas versiones, las mejoras e, incluso, las actualizaciones (por ejemplo, del software) se miran con escepticismo, desd\u00e9n e, incluso, \u00a1con miedo! De hecho, la tecnolog\u00eda operativa de los sistemas de control industrial suele incluir viejos y chirriantes ordenadores que funcionan con Windows 2000 (!), adem\u00e1s de una variedad de software antiguo lleno de vulnerabilidades (tambi\u00e9n hay agujeros gigantes en sus pol\u00edticas de seguridad y otras muchas pesadillas para los equipos de seguridad TI)<\/em>. En resumen: el kit del departamento TI<\/em> en las oficinas, no en la planta de fabricaci\u00f3n ni en las instalaciones auxiliares\/t\u00e9cnicas, est\u00e1 vacunado contra todos los virus desde hace mucho tiempo, y se actualiza y revisa oportunamente, adem\u00e1s de estar completamente protegido por modernas soluciones de ciberseguridad. Mientras tanto, en el resto de las \u00e1reas (la OT), sucede exactamente lo contrario; por lo tanto, los virus sobreviven y prosperan.<\/p>\n

Estos son los 10 programas maliciosos de la \u201cvieja escuela\u201d m\u00e1s extendidos que se encontrar\u00e1n en los ordenadores del ICS en el 2022:<\/p>\n

\"\"<\/p>\n

Sality<\/a>! Virut<\/a>! Nimnul<\/a>!<\/p>\n

\u00bfQu\u00e9 nos dice este gr\u00e1fico?<\/p>\n

En primer lugar<\/strong>, d\u00e9jame decirte que los porcentajes que se muestran est\u00e1n relacionados con una fase del \u201csue\u00f1o\u201d de estos virus de la vieja escuela. Pero, de vez en cuando, pueden escapar de los l\u00edmites de un \u00fanico sistema infectado y propagarse por toda la red, lo que provocar\u00eda una grave epidemia local. Y, en lugar de un tratamiento completo, generalmente se recurre a copias de seguridad antiguas, que no siempre est\u00e1n \u201climpias\u201d. Adem\u00e1s, la infecci\u00f3n puede afectar no solo a los ordenadores del ICS, sino tambi\u00e9n a los controladores l\u00f3gicos programables<\/a> (PLC por sus siglas en ingl\u00e9s). Por ejemplo, mucho antes de la aparici\u00f3n de Blaster<\/a> (un gusano de prueba de concepto capaz de infectar el firmware de los PLC), el loader<\/em> Sality ya estaba presente; bueno, casi: no en el firmware, sino en forma de script en archivos HTML de la interfaz web.<\/p>\n

S\u00ed, Sality puede generar un verdadero desastre en los procesos de producci\u00f3n automatizados, pero eso no es todo. Puede estropear la memoria a trav\u00e9s de un driver malicioso e infectar los archivos y la memoria de las aplicaciones, lo que podr\u00eda provocar el fallo total de un sistema de control industrial en cuesti\u00f3n de d\u00edas. Y en caso de una infecci\u00f3n activa, podr\u00eda caerse toda la red, ya que Sality ha estado utilizando la comunicaci\u00f3n entre pares para actualizar la lista de centros de control activos desde el 2008. Es muy complicado que los fabricantes de ICS hayan escrito su c\u00f3digo con este entorno de trabajo tan agresivo en mente.<\/p>\n

En segundo lugar<\/strong>, 0,14 % en un mes no parece mucho, pero representa miles<\/em> de casos de infraestructura cr\u00edtica en todo el mundo. Es una verg\u00fcenza cuando piensas c\u00f3mo se podr\u00eda excluir este riesgo de manera completa, simple y con los m\u00e9todos m\u00e1s fundamentales.<\/p>\n

Y tercero<\/strong>, dado que la ciberseguridad de las f\u00e1bricas es un colador, no es de extra\u00f1ar que a menudo escuchemos noticias sobre ataques exitosos por parte de otros tipos de malware, en particular el ransomware (como el caso de infecci\u00f3n del ransomware Snake contra Honda<\/a>).<\/p>\n

Est\u00e1 claro por qu\u00e9 la gente de la OT es conservadora: lo principal para ellos es que los procesos industriales que supervisan no sufran interrupciones, lo que podr\u00edan causar las nuevas tecnolog\u00edas\/mejoras\/actualizaciones. Pero \u00bfqu\u00e9 pasa con las interrupciones causadas por los ataques de virus de la vieja escuela que se permiten al quedarse atr\u00e1s en el tiempo? Precisamente, ese es el dilema al que se enfrenta la TO que no se adapta a las nuevas tecnolog\u00edas, de ah\u00ed las cifras que se muestran en el gr\u00e1fico.<\/p>\n

Pero ese dilema puede ser cosa del pasado con nuestra \u201cp\u00edldora\u201d.<\/p>\n

Lo ideal ser\u00eda que existiera la capacidad de innovar, mejorar o actualizar el kit de la OT sin poner en riesgo la continuidad de los procesos industriales. Por ello, el a\u00f1o pasado patentamos un sistema que garantiza precisamente eso\u2026<\/p>\n

En resumen, funciona as\u00ed: antes de introducir algo nuevo en los procesos que DEBEN seguir funcionando, los prueba en un simulador, un soporte especial que emula las funciones industriales cr\u00edticas.<\/p>\n

Esta plataforma se compone de una configuraci\u00f3n de la red OT dada, que enciende los mismos tipos de dispositivos utilizados en el proceso industrial (ordenadores, PLC, sensores, equipos de comunicaciones, paquete del IdC) y los hace interactuar entre s\u00ed para replicar la fabricaci\u00f3n u otro proceso industrial. En el terminal de entrada de la plataforma hay una muestra del software probado, que comienza a ser observado por una sandbox<\/a>, que registra todas sus acciones, observa las respuestas de los nodos de la red, los cambios en su desempe\u00f1o, la accesibilidad de las conexiones y muchas otras caracter\u00edsticas at\u00f3micas. Los datos recopilados de esta forma permiten construir un modelo que describe los riesgos del nuevo software, lo que a su vez permite tomar decisiones informadas sobre si introducir o no este nuevo software y tambi\u00e9n qu\u00e9 se debe hacer con la OT para cerrar las vulnerabilidades descubiertas.<\/p>\n

Pero espera, que la cosa se pone interesante\u2026<\/p>\n

Se puede probar literalmente cualquier cosa en el terminal de entrada, no solo el nuevo software y las actualizaciones que se implementar\u00e1n. Por ejemplo, puedes probar la resiliencia contra programas maliciosos que sortean los medios de protecci\u00f3n externos y penetran en una red industrial protegida.<\/p>\n

Esta tecnolog\u00eda tiene mucho potencial en el campo de los seguros, ya que permite a las compa\u00f1\u00edas juzgar mejor los riesgos cibern\u00e9ticos para calcular de una forma m\u00e1s precisa las primas, mientras que los asegurados no pagar\u00e1n de m\u00e1s sin raz\u00f3n. Adem\u00e1s, los fabricantes de equipos industriales podr\u00e1n utilizar la plataforma de prueba para la certificaci\u00f3n de software y hardware de otros desarrolladores. Si desarrollamos a\u00fan m\u00e1s este concepto, dicho esquema tambi\u00e9n se adaptar\u00eda a los centros de acreditaci\u00f3n espec\u00edficos de la industria, \u00a1por no hablar del potencial de investigaci\u00f3n en las instituciones educativas!<\/p>\n

Pero por ahora, volvamos a la plataforma original\u2026<\/p>\n

No hace falta decir que ninguna emulaci\u00f3n puede reproducir con un 100 % de precisi\u00f3n la variedad completa de procesos en las redes OT. Sin embargo, seg\u00fan el modelo que hemos construido teniendo en cuenta nuestra vasta experiencia, ya sabemos d\u00f3nde se pueden esperar las \u201csorpresas\u201d despu\u00e9s de presentar un nuevo software. Adem\u00e1s, podemos controlar la situaci\u00f3n de manera confiable con otros m\u00e9todos, por ejemplo, con nuestro sistema de alerta temprana de anomal\u00edas, MLAD<\/a> (sobre el cual ya escrib\u00ed con detalle aqu\u00ed<\/a>), que puede identificar problemas en secciones particulares de una operaci\u00f3n industrial en funci\u00f3n de correlaciones directas o incluso indirectas. Esto podr\u00eda evitar la p\u00e9rdida de millones, si no miles de millones de d\u00f3lares por causa de los incidentes.<\/p>\n

Entonces, \u00bfqu\u00e9 impide que la gente de la OT compita para adoptar nuestro modelo de plataforma?<\/p>\n

Bueno, tal vez, hasta ahora, dado que son tan conservadores, no est\u00e9n buscando activamente una soluci\u00f3n como la nuestra, ya que podr\u00edan no considerarla necesaria (!). Haremos todo lo posible para promover nuestra tecnolog\u00eda y ahorrar millones a la industria, por supuesto, pero mientras tanto, permitidme a\u00f1adir esto: nuestro modelo de soporte, aunque complejo, se amortizar\u00e1 muy r\u00e1pidamente si lo adopta una gran industria u organizaci\u00f3n infraestructural. Y no es un modelo de suscripci\u00f3n ni nada por el estilo: pagas una vez y te protege durante a\u00f1os sin inversi\u00f3n adicional (minimizando los riesgos regulatorios, reputacionales y operativos). Ah, tambi\u00e9n proteger\u00e1 el estado emocional de la gente de la OT\u2026 o la cordura.<\/p>\n","protected":false},"excerpt":{"rendered":"

Toda la informaci\u00f3n sobre la protecci\u00f3n y actualizaci\u00f3n de la infraestructura OT.<\/p>\n","protected":false},"author":13,"featured_media":28160,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[2202,2754],"tags":[1912,2515,3193,3509,90],"class_list":{"0":"post-28159","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-business","8":"category-enterprise","9":"tag-ics","10":"tag-mlad","11":"tag-ot","12":"tag-tecnologia-operativa","13":"tag-virus"},"hreflang":[{"hreflang":"es","url":"https:\/\/www.kaspersky.es\/blog\/updating-ot-infrastructure\/28159\/"},{"hreflang":"en-in","url":"https:\/\/www.kaspersky.co.in\/blog\/updating-ot-infrastructure\/24942\/"},{"hreflang":"en-ae","url":"https:\/\/me-en.kaspersky.com\/blog\/updating-ot-infrastructure\/20439\/"},{"hreflang":"ar","url":"https:\/\/me.kaspersky.com\/blog\/updating-ot-infrastructure\/10478\/"},{"hreflang":"en-us","url":"https:\/\/usa.kaspersky.com\/blog\/updating-ot-infrastructure\/27499\/"},{"hreflang":"en-gb","url":"https:\/\/www.kaspersky.co.uk\/blog\/updating-ot-infrastructure\/25272\/"},{"hreflang":"es-mx","url":"https:\/\/latam.kaspersky.com\/blog\/updating-ot-infrastructure\/25602\/"},{"hreflang":"it","url":"https:\/\/www.kaspersky.it\/blog\/updating-ot-infrastructure\/27424\/"},{"hreflang":"ru","url":"https:\/\/www.kaspersky.ru\/blog\/updating-ot-infrastructure\/34311\/"},{"hreflang":"x-default","url":"https:\/\/www.kaspersky.com\/blog\/updating-ot-infrastructure\/46467\/"},{"hreflang":"fr","url":"https:\/\/www.kaspersky.fr\/blog\/updating-ot-infrastructure\/19830\/"},{"hreflang":"pt-br","url":"https:\/\/www.kaspersky.com.br\/blog\/updating-ot-infrastructure\/20453\/"},{"hreflang":"de","url":"https:\/\/www.kaspersky.de\/blog\/updating-ot-infrastructure\/29576\/"},{"hreflang":"ja","url":"https:\/\/blog.kaspersky.co.jp\/updating-ot-infrastructure\/33951\/"},{"hreflang":"nl","url":"https:\/\/www.kaspersky.nl\/blog\/updating-ot-infrastructure\/28791\/"},{"hreflang":"ru-kz","url":"https:\/\/blog.kaspersky.kz\/updating-ot-infrastructure\/25628\/"},{"hreflang":"en-au","url":"https:\/\/www.kaspersky.com.au\/blog\/updating-ot-infrastructure\/31318\/"},{"hreflang":"en-za","url":"https:\/\/www.kaspersky.co.za\/blog\/updating-ot-infrastructure\/31027\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/www.kaspersky.es\/blog\/tag\/ics\/","name":"ICS"},"_links":{"self":[{"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/posts\/28159","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/users\/13"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/comments?post=28159"}],"version-history":[{"count":1,"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/posts\/28159\/revisions"}],"predecessor-version":[{"id":28162,"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/posts\/28159\/revisions\/28162"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/media\/28160"}],"wp:attachment":[{"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/media?parent=28159"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/categories?post=28159"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/tags?post=28159"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}