Revista index CIBERATAQUES EN TIEMPOS DE TRANSFORMACIÓN DIGITAL

Por David Ordaz

México es el país que recibe más ciberataques de América Latina; fueron 85,000 millones en el primer semestre de 2022, 40% más que en 2021. De los 156,000 millones de intentos de ciberataques, nuestro país registró más del 50%.

Platicamos con Agustín Tiburcio, Director del Comité de Tecnologías de la Información de index Nacional.

P. ¿Cuál es el escenario actual de la ciberseguridad en México?.

R. "Desafortunadamente no estamos en el mejor momento en temas de ciberseguridad en el país, hay muchas cosas por hacer y necesitamos estar en constante movimiento para poder capacitar a nuestra sociedad en este sentido y tener alcance a herramientas necesarias para poder prevenir este tipo de incidentes. Razones sobran para estar paranoicos sobre el nivel de riesgo que tiene nuestra infraestructura crítica. El año pasado hackearon a la Secretaría de la Defensa Nacional. Nos enteramos por los "Guacamaya Leaks", y en medio del escándalo, algo trascendió de la incompetencia en el personal que debió blindar esa información. No fue el único gran agujero digital del año.

En diciembre, la Secretaría de Infraestructura, Comunicaciones y Transportes se vio obligada a suspender trámites ante la Agencia Federal de Aviación Civil por un “incidente cibernético”.

No todos los ataques exitosos son conocidos, pero tenemos una gran cantidad de casos que permiten adivinar la vulnerabilidad de algunas instituciones. En 2019, hubo una incursión contra Pemex que provocó un gran agujero en el área de facturación y cobranza, (se dice que no pagó el rescate, pero perdió documentos que valían millones de pesos). En 2020 la Comisión Nacional de Seguros y Fianzas y la Secretaría de Economía fueron atacadas y se vieron obligadas a suspender trámites por varios días.

En México fueron 472 millones de ataques diarios durante el año pasado y serán más en este 2023. Los criminales pueden buscar un pago a cambio de la información que comprometieron, pero también pueden tener como objetivo la disrupción de las operaciones por el puro gusto de hacer daño. Además de las instituciones del sector público, las empresas privadas y algunos perfiles relevantes aparecen como objetivos: bancos y banqueros, empresas y empresarios, comercio electrónico, telecomunicaciones, energía, turismo, etc. 18% de las empresas de la industria maquiladora de exportación sufrieron ataques. base a políticas públicas que generen herramientas para ayudar a los jóvenes a tener un trabajo digno al momento de terminar su carrera profesional.

P. A nivel mundial, ¿qué hacen los gobiernos para combatir este fenómeno?

R. "Son muchas las acciones de manera global para evitar los riesgos cibernéticos. Todo depende de la región y el país. Hay naciones mucho más avanzadas y enfocadas en temas de ciberseguridad que otras, y ese es justo el problema, ya que los ataques penetran por medio del eslabón más débil.

Los líderes empresariales y cibernéticos están más alineados en sus perspectivas sobre la tecnología emergente.

La mayoría de los líderes organizacionales aprecian que varios campos de tecnología emergente como el uso del aprendizaje automático (machine learning) se implementen a gran velocidad y se utilicen en una gama cada vez más amplia de procesos.

La implementación de nuevas tecnologías se llevará a cabo en combinación, aumentando significativamente la complejidad del entorno digital de una organización y destacando la necesidad de integrar la gestión del riesgo cibernético en todas las etapas de un proceso de transformación digital".

P. ¿En qué debería enfocarse México para combatir los ciberataques?

R. "La brecha de preparación para la seguridad cibernética global. Los resultados son claros: según un índice que calculó una de las marcas mas importantes de equipamiento de redes, se considera que sólo el 15 % de las organizaciones en todo el mundo tiene un nivel maduro de preparación para manejar los riesgos de seguridad de nuestro mundo híbrido.

En México el nivel de preparación es aún más bajo, con sólo el 12 % de las organizaciones que se encuentran en la etapa madura de preparación.

La mayoría de las empresas son conscientes de que la amenaza es real. El 76 % de los líderes de seguridad en México cree que es probable que los incidentes de seguridad cibernética interrumpan sus negocios en los próximos 12 a 24 meses. Esto se compara con un número global del 82% que siente lo mismo. Las consecuencias de no estar preparado nunca han sido mayores. El 40% de los encuestados en México dijeron que experimentó algún tipo de incidente de ciberseguridad en los últimos 12 meses, en comparación con el 57% a nivel mundial.

Los incidentes costaron al 23% de las organizaciones mexicanas afectadas al menos US$500 000 o más, en comparación con el 41 % a nivel mundial que tuvo costos similares".

P. ¿Cómo pueden prepararse las empresas?

R. "En la resiliencia de la seguridad del negocio. En áreas críticas, se han tomado medidas significativas para proteger a las organizaciones contra las amenazas de ciberseguridad.

Sin embargo, las organizaciones de todo el mundo, y quizás los gobiernos, deben reconocer que queda un largo camino por recorrer. Las implementaciones de algunas soluciones, en particular las de identidad, dispositivos y redes, no se están implementando tan rápido como podrían, lo que deja a algunas organizaciones vulnerables a los

Cuando las consecuencias de los ciberataques son tan claras, la resiliencia debe ser una prioridad para todas las organizaciones y es necesario acelerar el despliegue de

Debemos de seguir trabajando en equipo, reconociendo toda el área de oportunidad y debilidades que tenemos en nuestras operaciones, aceptando que debemos de aprender, invertir, capacitar y también denunciar cuando suceden este tipo de situaciones.

Tenemos que seguir trabajando juntos para lograr reducir la brecha de conocimiento que necesitamos y buscar tener responsables en cada una de nuestras organizaciones de la seguridad informática de nuestras empresas. La figura de CISO debe de predominar en todas las organizaciones".

P. ¿Cuál es el objetivo del Foro Internacional de Ciberseguridad index 2023?

R. "Concientizar a la sociedad y a nuestra membresía nacional sobre la relevancia de la ciberseguridad, promover la protección de la información, generar mecanismos de cooperación entre los países de Norteamérica, así como empujar la creación de un Centro de Ciberseguridad Industrial en index (CCI). Es parte del proceso en el que tenemos que participar como representantes de la industria maquiladora y manufacturera de exportación; debemos de capacitar a nuestras empresas y sensibilizarlas en este tema. Es importante reunir tanto a la academia, el gobierno, la iniciativa privada y los especialistas en este rubro.

El aumento de ataques tipo Ransomware a los sistemas industriales en la industria manufacturera en 2022 hace necesario la detección de intrusos y anomalías que pueden ser indicios de un ataque cibernético a los sistemas de control industriales. Un Sistema de detección de intrusos y anomalías (IDS) es un dispositivo o aplicación de software que monitorea la red industrial de los sistemas de control en manufactura, en busca de actividad maliciosa o violaciones de políticas de seguridad. Un IDS es una herramienta para mejorar el tiempo medio de detección (MTTD) y la respuesta (MTTR) de un incidente de ciberseguridad. Mientras más pronto detectemos, más pronto responderemos y podemos mantener la continuidad operacional.

Con el arribo de la Industria 4.0 y la incorporación de sensores IoT para aumentar la eficiencia y eficacia en los procesos manufactureros prácticamente todo está conectado digitalmente: desde el nivel de línea de producción: sensores de posición, actuadores, servos, variadores de velocidad, robots, escáneres, paneles de visualización hasta el nivel de los servidores de manejo de inventarios, logística, aplicaciones de analítica, etc. Sin embargo, la naturaleza propia del mundo de controladores industriales: sistemas propietarios viejos y múltiples protocolos industriales ha hecho que sean vulnerables a ataques cibernéticos y para poder gestionar estas amenazas cibernéticas, un primer paso es el uso de un Sistema de Detección de Intrusos y Anomalías (IDS).

¿Cuáles son los entregables de un sistema IDS para un entorno manufacturero?

El Inventario de Ciber Activos es la base, es ver lo que se debe proteger, por tanto, se realizara un mapa con todos los ciber activos en las redes industriales y sus componentes (Variadores, PLCs, Estaciones de Operación, Servidores SCADA, RTUs, MES, etc.).

El Listado de Vulnerabilidades para obtener una visión completa del sistema de control industrial y sus debilidades. Un IDS debería ser capaz de mostrar los datos de nombre de fabricante OEM, modelo, software, firmware, protocolos industriales de comunicación; y con ello determinar cuales tienen las ultimas actualizaciones de seguridad de los fabricantes de ciber activos y así poder tener un programa de gestión de vulnerabilidades para iniciar procesos de remediación y mitigación.

El Listado de anomalías como posible indicador de actividad maliciosa dentro de las redes industriales. El primer escenario de detección es basado en firmas, el IDS detecta los ataques sobre sobre la base de la secuencia de instrucciones maliciosa ya conocida que utiliza el malware. El segundo escenario es basado en anomalías. Se introdujo para detectar ataques de malware desconocidos a medida que se desarrolla rápidamente nuevo malware. Los famosos Zero-Day. En el IDS basado en anomalías, se utiliza el aprendizaje automático para crear un modelo de actividad confiable y todo lo que llega se compara con ese modelo y se declara sospechoso si no se encuentra en el modelo.

Alexei Pinal Regional Sales Director Ciberseguridad OT

Los entregables de un IDS son de alto valor para los ingenieros de OT/IT para visibilidad y de las redes industriales. Para gerencias de riesgo y la alta dirección, la consolidación de la información en reportes es útil para conocer de forma sencilla la postura de ciberseguridad ayudando a disminuir la prima de seguros y mantener el valor de la empresa.

La protección de las redes industriales de una planta manufacturera empieza por un Sistema de detección de intrusos y anomalías. Los entregables de un IDS: inventario de ciber activos, lista de vulnerabilidades asociadas y la lista de amenazas y anomalías. Mientras más pronto identifiquemos las vulnerabilidades, más cibersegura la planta estará y mientras más pronto detectemos amenazas, más pronto responderemos, mantendremos y recuperaremos el fin principal de la manufactura: producir.