Los sistemas de control industrial son la espina dorsal de las operaciones industriales, por lo que su exposición a Internet es desde hace tiempo motivo de preocupación para los investigadores de seguridad. Aunque los ciberataques directos contra los ICS siguen siendo menos comunes debido a los conocimientos técnicos necesarios, las consecuencias potenciales de tales violaciones, cuando tienen éxito, pueden ser devastadoras.
Recientemente, sin embargo, los actores de amenazas han dirigido su atención a un objetivo más fácil: las interfaces hombre-máquina (HMI). Estas interfaces gráficas permiten a los operadores controlar y supervisar la maquinaria ICS, pero muchas están conectadas a la Internet pública para facilitar el acceso remoto. Desgraciadamente, su comodidad suele tener un coste: unas medidas de autenticación deficientes y unas interfaces fáciles de usar crean oportunidades para la intrusión de agentes de amenazas.
En el tercer Informe anual sobre el estado de Internet, el equipo de investigación de Censys se propuso ilustrar el alcance de estas exposiciones globales de las ICS de una manera mesurada y no sensacionalista, para proporcionar ideas procesables a operadores y defensores. En este blog, ofrecemos un avance de lo que el equipo descubrió y de lo que estas conclusiones sugieren sobre el estado de la seguridad de las infraestructuras críticas.
¿Prefiere consultar el informe completo? Descargue aquí su copia completa del Informe sobre el Estado de Internet 2024.
1. Exposiciones a interfaces hombre-máquina (HMI): Un riesgo creciente
A menudo se pasa por alto el riesgo de las interfaces hombre-máquina (HMI) expuestas. Sin embargo, como escribe el equipo de investigación de Censys en su informe, "las HMI representan las exposiciones más preocupantes y apremiantes en el espacio ICS."
Las HMI son esenciales para supervisar y gestionar los sistemas industriales, y su creciente conectividad a Internet para permitir el acceso remoto las ha convertido en un blanco fácil para los actores de amenazas. Lo que hace especialmente vulnerables a las HMI es su falta de medidas de seguridad sólidas. Muchos son accesibles sin autenticación o se basan en configuraciones débiles por defecto, lo que los convierte en un objetivo atractivo para los atacantes. La facilidad de acceso y manipulación de las HMI expuestas ha dado lugar a ataques notables, como los perpetrados contra sistemas municipales de agua en 2023 y 2024.
En el Informe sobre el estado de Internet 2024, el equipo de investigación de Censys identificó más de 7.700 IHM expuestas en 80 países, de las cuales casi el 70% se encuentran en Norteamérica.
Entre los 20 tipos de software HMI observados, el equipo examinó más de cerca el más prevalente, AutomationDirect C-More HMIs, para aprender más sobre el impacto en la industria.
Las HMI de C-More ejecutan un servidor web público con una vista de sólo lectura de cada pantalla programada. También ejecutan un protocolo propietario construido específicamente para programar las HMI, que está habilitado por defecto y tiene una autenticación débil o nula.
Al examinar las industrias que utilizan las IHM de C-More, Censys descubrió que más de un tercio de las exposiciones estaban relacionadas con el agua y las aguas residuales.
Un estudio reciente de GreyNoise Intelligence sobre la exposición a las IHM coincide con las conclusiones de Censyssobre los riesgos que presentan las IHM. En el artículo de su blog, que incluye la cobertura del informe The 2024 State of the Internet Report, GreyNoise señala que ha observado que las HMI conectadas a Internet se escanean y sondean con mayor rapidez que los sensores básicos. GreyNoise afirma además que "más del 30% de las IP que tocaron las HMI antes que un sensor típico de GreyNoise fueron identificadas posteriormente como maliciosas".
2. Exposición de ICS: Un reto persistente para la seguridad
El Informe sobre el Estado de Internet de este año también analiza la exposición generalizada de los protocolos ICS, también conocidos como protocolos de automatización, que, como se ha mencionado, son fundamentales para las operaciones industriales, pero notoriamente inseguros.
A nivel mundial, Censys observó más de 148.000 servicios ICS en 175 países, de los cuales Norteamérica albergaba el 38% y Europa el 35%. Aunque esto subraya la gran oportunidad que tienen los EE.UU. de abordar las exposiciones a protocolos, este país también tiene el mayor número de direcciones IPv4 asignadas. Cuando se examinan los servicios ICS en relación con la huella total de Internet, Lituania, Bielorrusia y Turquía encabezan la lista.
Los principales protocolos ICS vulnerables son:
- Modbus: Ampliamente utilizado en todas las industrias, pero a menudo carece de cifrado y autenticación.
- IEC 60870-5-104: esencial para los sistemas eléctricos, pero cada vez más objetivo de las campañas de malware.
- CODESYS y OPC UA: protocolos avanzados que forman parte integrante de la automatización, pero que con frecuencia quedan expuestos debido a errores de configuración.
Estos protocolos, aunque diseñados hace décadas, siguen siendo fundamentales para los procesos industriales. Desgraciadamente, su diseño heredado y la falta de seguridad moderna hacen que sean fáciles de explotar.
3. Diferencias regionales y tendencias mundiales en la exposición a ICS
Censys concluye que la exposición a los ICS varía según la región. En Europa, predominan los protocolos heredados como Modbus, mientras que en Norteamérica se observa un mayor uso de ISP de consumo y redes móviles para la conectividad ICS.
Un número significativo de dispositivos expuestos funcionan con redes 5G o LTE, lo que complica la atribución y dificulta la determinación de la propiedad.
Esta dependencia de las redes móviles para la conectividad ICS introduce desafíos únicos. Las amenazas pueden aprovecharse de la falta de metadatos asociados a estos dispositivos, lo que dificulta a los equipos de seguridad la detección y atribución de actividades maliciosas.
Mirando al futuro: Seguridad de las infraestructuras críticas
Como deja claro nuestro Informe sobre el estado de Internet en 2024, abundan los puntos vulnerables en la superficie de ataque global de los sistemas de control industrial. Aunque las vulnerabilidades de las interfaces hombre-máquina y de los protocolos de los ICS son diferentes, comparten un reto común: la exposición a Internet está aumentando la probabilidad de ataques.
Para mantenerse a la vanguardia, los operadores de ICS y los equipos de seguridad necesitan:
- Identificar y proteger las HMI y los protocolos ICS expuestos.
- Evite conectar protocolos ICS y HMI a Internet siempre que sea posible.
- Evite utilizar credenciales débiles o por defecto.
- Aproveche la inteligencia de Internet en tiempo real para vigilar y hacer frente a las amenazas emergentes.
Descargue el Informe sobre el estado de Internet 2024 para obtener conclusiones aún más detalladas e información práctica.
Obtener informe
¿Le interesa escuchar directamente al equipo de investigación de Censys ? Participe en nuestro seminario web especial sobre el estado de Internet en 2024 el 11 de diciembre de 2024 a la 1 p.m. EST. Reserve su plaza.
