Segurilatam 025

/ Segundo cuatrimestre 2023 28 artículo técnico Ciberseguridad dad por la falta de parches, la principal causa sería el ransomware . Este tipo de malware está dedicado a cifrar el conte- nido de los equipos aprovechando vul- nerabilidades no parcheadas y pedir un rescate para recuperarlo. El ransomware de los últimos años in- cluye capacidades interesantes, como, por ejemplo, exfiltrar información durante un período de tiempo antes de cifrar real- mente el contenido. De manera que, si la víctima se niega a pagar para recuperar sus archivos, la extorsión puede variar ha- cia exigir un pago a cambio de no hacer pública la información exfiltrada. Son varios los casos de organizaciones que prestan servicios esenciales que han sido afectadas por este tipo de malware en los últimos años, aunque algunas de ellas lo han negado pública y enfática- mente. Pero este tipo de incidentes se filtra rápidamente en las redes sociales o entre los grupos de Slack o Telegram de los profesionales del sector. Otras ciberamenazas Últimamente también se ha puesto de moda la infección de equipos sin la necesidad de contar con un archivo ejecutando una actividad maliciosa en el sistema. Este tipo de malware hace uso de herramientas y procesos pro- pios del sistema operativo (como, por ejemplo, PowerShell o WMI) sin des- cargar ejecutables extras en la víctima, dificultando muchísimo su detección para las herramientas antimalware . Por lo general, requiere la complicidad del usuario del sistema para afectar el equipo, quien, claramente, no lo haría de forma consciente. En los últimos años, esta técnica ha sido muy utilizada para afectar esta- ciones de ingeniería y lograr así com- prometer los equipos con los cuales se configuran los PLC (controladores lógicos programables) que controlan la infraes- tructura crítica de servicios esenciales. Como con muchos otros ataques sofisti- cados, las organizaciones deben buscar seguridad de múltiples capas para pre- venir y detectar ataques de malware sin archivos o modelos centrados en la iden- tidad de Confianza Cero más sofisticados para limitar los riesgos. Las capas antispam y antiphishing pue- den ayudar a detectar enlaces entrantes antes de que lleguen a los usuarios, pero se verán afectados por un malware es- condido. Estas capas de protección tam- bién pueden ocasionar problemas de rendimiento o de acceso. Por ello es fun- damental que estas medidas sean muy bien probadas y gestionadas. Riesgo y gestión En general, el firmware de los dispo- sitivos de control industrial, como el software que utilizan los HMI o los ser- vidores SCADA para la supervisión, las estaciones de ingeniería y el resto de los componentes instalados sobre un sistema operativo, tiene agujeros de se- guridad. Vulnerabilidades que antes no se conocían pero que ahora se reportan públicamente en los CVE de Mitre. Y que, además, se publican en avisos de la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA, por sus siglas en inglés) de Estados Unidos o de fabrican- tes como Siemens. Más del 60% de las infracciones de seguridad tiene como objetivo aprove- char vulnerabilidades conocidas que podrían haberse evitado con un simple parche. Pero la gestión de parches no sólo debe proporcionar la capacidad de descubrir e informar sobre dispositivos sin parches. También es fundamental la capacidad de administrar el tiempo y la entrega de parches para minimizar la carga de la red y el posible impacto en la productividad. Es evidente que cualquier cambio introducido en un entorno que automa- tiza un servicio esencial introducirá un riesgo. Es por ello que el mejor momen- to para incorporar medidas de ciber- seguridad será siempre en los nuevos proyectos. Por esa razón, en cualquier renovación tecnológica o al incorporar la digitalización se deberá aprovechar la ocasión para abordar la ciberseguridad, pero siempre evaluando su riesgo y con- templando su gestión.