Una industria conectada es también una industria más amenazada. Y ahora mismo "hay un montón de sistemas que funcionan muy bien porque se han diseñado así, pero en los que nunca se ha tenido en cuenta la ciberseguridad", afirma el director del área de Ciberseguridad en el centro de investigación Tecnalia, Óscar Lage. Por eso, su trabajo consiste en cerrar brechas y minimizar los riesgos empresariales mediante tecnologías como criptografía, las cadenas de bloques y la inteligencia artificial.
nEl pasado mes de mayo, el ataque WannaCry ocupó todos los titulares al bloquear no sólo empresas, sino también hospitales y fábricas. ¿Estamos ante una nueva época dorada para los ciberataques?
nYo creo que son ciclos. Hace 15 ó 20 años hablábamos de securizar las redes. Pero ahora este campo ya está maduro y trabajamos en otros ámbitos. Mientras que hace 15 años los bancos, gobie os y defensa eran los más atacados, hoy la mayoría de ataques, casi el 40%, son a la industria manufacturera y energética. Atacar un banco o un gobie o sigue siendo el top, pero ya están tan protegidos que es mucho más complicado, aunque la seguridad total no existe ni va a existir.
nEl ento o industrial y energético es el que sufre los verdaderos ataques. Un ranwomware afecta a todo, pero lo que más llama la atención son hospitales y fábricas. Estamos hablando de sistemas industriales que están pensados para trabajar de forma aislada y que, de repente, se conectan bajo el paradigma de la industria 4.0 de explotar datos y hacer mantenimiento predictivo. Y ahora es cuando empiezan los problemas.
n¿Cuáles son los ciberataques más comunes?
nEn los primeros meses de este año la mayoría de incidentes proceden de redes zombis, ordenadores que están siendo utilizados para atacar. Los ataques más peligrosos son las denegaciones de servicio distribuidas. Pueden paralizar los servicios de un banco, Amazon, o incluso un DNS que resuelve la dirección web de un montón de empresas, como ya pasó el año pasado. Muchos de estos ordenadores y dispositivos IoT están esclavizados a la espera de lanzar un ataque. Es lo que más se produce, aunque obviamente es menos llamativo que un ransomware que bloquea el ordenador.
n¿Y en las empresas? ¿Existe alguna particularidad en los ataques que reciben?
nEn la industria, de forma sigilosa y sin detener el ordenador, lo que se está haciendo es robar información. Nos encontramos con gente que cuando presenta una licitación inte acional se encuentra con una empresa, por ejemplo china, que ha comprado los datos y presenta el mismo pliego dos dólares más barato. Esto es imposible si no hay una fuga de información. Cuando lo analizas, resulta que a la empresa le faltan logs [registros del comportamiento de los sistemas y programas], etcétera. No se sabe exactamente qué ha pasado, pero alguien de la competencia ha obtenido esa información. Son contratos de muchos millones y en los que hay gente que paga por obtener esa información mediante ataques dirigidos contra empresas concretas. Y esto está pasando en empresas españolas. No hablamos de ciencia ficción.
n¿Quién está detrás de esos ataques? ¿Se puede llegar a saber?
nEn muchos casos ni se sabe, pero hay redes y grupos de hackers que se dedican a ello. Incluso determinados gobie os pueden estar detrás, pero ahí hilar el hilo es muy complicado. Se encuentran muestras, pero este tipo de ataques son muy sigilosos y tampoco es fácil saber quién ha sido realmente.
nLa llamada industria 4.0 y el IoT plantean la conexión total de cualquier elemento. Pero conectar más dispositivos y máquinas implica también más riesgos, ¿no?
nEstá claro que interconectarlo todo es un nuevo riesgo. Si dispusiéramos de protocolos industriales seguros, autenticados, con comunicaciones confidenciales y cifradas no tendríamos estos problemas. Pero todos estos datos [de la industria] están hechos para estar aislados y de repente los conectamos y los juntamos con cosas como cámaras IP, que hemos comprado a precio y no sabemos muy bien ni cómo funcionan ni qué seguridad tienen. El fabricante puede pensar: "¿Qué problema hay con que vayan a ver dos imágenes de la fábrica?" Pero a partir de la cámara se puede acceder al resto porque está todo en la misma red.
nLo primero es segmentar la red, definir exactamente qué necesidades de conexión tiene cada elemento, y poner medidas de protección a la entrada y salida de cada uno de esos segmentos.
n¿Por qué no actúan las empresas desde el principio?
nEl problema suele ser que el proceso de conectar la empresa muchas veces lo lidera el departamento de IT, que se quiere lavar las manos y dice que forma parte del departamento industrial. Entonces, de repente, le cae toda la responsabilidad a alguien de producción o de operaciones. Al mismo tiempo, pasan por allí un montón de empresas ofreciendo las bondades y beneficios de explotar los datos, sensorizar y demás. Es su cometido, pero muchas veces esas empresas tampoco se preocupan por la seguridad. Dan por hecho que alguien lo hará, pero la realidad es que, en ese momento, ahí en medio, nadie se preocupa.
nFalta sensibilidad. Piensa que cada seis meses se incrementa un 19% el número de máquinas conectadas a inte et. Ya no es que estén protegidas o no, es que están conectadas directamente a inte et. Es un problema bestial.
nQuedaría la opción de los proveedores, que las máquinas sean seguras en origen.
nIntentamos hablar con los fabricantes para que su nueva generación de aparatos sea segura e incluya las medidas adecuadas. Pero tampoco llegarían al mercado hasta dentro de cinco años. Aparte, son equipamientos que tienen una vida útil de 20 ó 30 años. Hay que trabajar con los fabricantes, pero también con quienes los implantan, los clientes tienen que concienciarse.
nSin embargo, siempre estaría el riesgo de conectarse desde fuera. Todo apunta a que los sistemas se controlarán cada vez más desde la nube y en remoto.
nLo bueno de una red industrial es que, aunque la gente se conecte desde fuera, suele ser bastante estable y su forma de operar es muy similar y su comportamiento se puede modelizar con inteligencia artificial. Por ejemplo, un patrón muy sencillo que se suele detectar muy rápido: si el cambio de parámetro de una máquina suele producirse dos o tres veces al mes y de repente se realiza tres veces en un mismo día, el algoritmo detecta que algo sucede. Puede que sólo estén revisando la máquina, pero algo pasa. A partir de ahí, el responsable de la infraestructura puede revisar si esto es un problema o no. Y si no lo es, el algoritmo lo aprende y lo etiqueta como "mantenimiento".
nEs en lo que trabajamos mientras llegan la ciberseguridad y los equipos ciberseguros a la industria. No vas a proteger los protocolos, pero por lo menos detectar lo que está pasando hasta entonces. Si hablamos de una nueva planta, quizá en seis años ya esté totalmente segura, pero nos quedan muchos años de máquinas e industrias no seguras.
nLa inteligencia artificial se convierte un poco en vigilante, pero ¿podría ser también una amenaza?
nLos atacantes también son cada vez más fuertes y utilizan este tipo de inteligencia artificial para dar el salto. Un ejemplo es el uso de agentes inteligentes que simulan el comportamiento de una red para no levantar sospechas. Son cosas súper complicadas y cada vez más difíciles de detectar.
n