Entrevista a Pablo Vera, vicepresidente regional de Iberia en Zscaler

Las redes de los operadores de infraestructuras críticas, como los de los sectores de la manufactura, el transporte y la energía, siempre han sido difíciles de proteger. Debido al gran número de identidades no protegidas y de dispositivos OT/IoT sin asegurar, estos sectores continúan siendo un objetivo principal para los ciberataques. Nos lo cuenta Pablo Vera, Country Manager de España y Portugal en Zscaler, compañía especializada en seguridad en la nube. En este contexto, la IA “permitirá automatizar funciones críticas, como el descubrimiento de activos IoT y OT en entornos complejos, y facilitará la segmentación y el control de estos entornos a gran escala”. A continuación, un resumen de la charla que mantuvimos.

Automática e Instrumentación: ¿Cuáles son los principales vectores de ataque a empresas españolas?

Pablo Vera: Muchos de los últimos ciberataques ocurridos en España han sido a través de brechas de seguridad de terceros con acceso a datos sensibles, comprometiendo la información personal y confidencial y poniendo en evidencia la fragilidad de las cadenas de suministro digitales de las empresas. En cuanto a tipos de ataques, el ransomware continúa en aumento, con ciberdelincuentes que emplean este tipo de malware para cifrar los datos de las empresas y exigir un rescate a cambio de recuperar la información robada. En algunos casos, los atacantes han llegado a exigir grandes sumas de dinero, llegando a paralizar operaciones esenciales y generando grandes pérdidas económicas.

Por un lado, se lanzan ataques aprovechando infraestructuras de seguridad obsoletas como los firewalls y las VPNs, y, por otro lado, los ciberdelincuentes están utilizando inteligencia artificial (IA) generativa para llevar a cabo ataques quirúrgicos y dirigidos contra funciones empresariales de alto impacto en las organizaciones. Los ciberdelincuentes están utilizando la IA como arma para evadir la detección y manipular a las víctimas, lo que significa que las organizaciones deben recurrir a defensas igualmente avanzadas basadas en IA para adelantarse a estas amenazas emergentes.
 

Además, la creciente convergencia entre las infraestructuras de TI y TO está contribuyendo a un mayor riesgo. Los sistemas de TO suelen estar basados en dispositivos y software obsoletos, y tienen ciclos de vida largos. Más del 50% de los dispositivos de TO utilizan sistemas operativos obsoletos o fuera de soporte, que normalmente contienen vulnerabilidades conocidas. 
 

AeI: ¿Cómo pueden las empresas mejorar su infraestructura para evitar ser víctima de este tipo de ciberataques?

P.V.: Es muy importante que cuenten con una estrategia de ciberresiliencia que les permita recuperarse y mitigar los daños de cualquier incidente de forma rápida y eficaz. Para mitigar el riesgo relacionado con la ciberresiliencia, las organizaciones deberían integrar la visibilidad y el control en el núcleo de sus soluciones de seguridad. Esto se logra mediante un enfoque diseñado con resiliencia. Al planificar pensando en posibles fallos, el personal de seguridad está mejor preparado para actuar de inmediato y detenerlo antes de que se convierta en un incidente de gran escala. Esto es precisamente lo que permite la plataforma Zero Trust Exchange de Zscaler: ‘Resiliente por Diseño’, que ayuda a las empresas a anticiparse y mitigar riesgos en lugar de simplemente tener una posición reactiva. 

Además, a medida que los ciberdelincuentes continúan utilizando la IA generativa para desarrollar nuevas tácticas y lanzar ataques más sofisticados, las empresas deben reforzar sus defensas frente a todo tipo de situaciones.
 

AeI: ¿Qué sectores o industrias son los más atacados?

P.V.: Según nuestro ThreatLabz 2024 Mobile, IoT & OT Threat Report, el sector de la manufactura es, por segundo año consecutivo, especialmente vulnerable a los ataques de ransomware. La dependencia de este sector de los entornos conectados expone su superficie de ataque y ‘facilita’ numerosos puntos de entrada de los ciberdelincuentes. Los centros de datos también estarán cada vez más en el punto de mira, ya que su clasificación como infraestructura crítica en el Reino Unido —y posiblemente pronto también en Europa— genera nuevos escenarios de amenaza. 

El del transporte es otro de los principales objetivos de los ciberdelincuentes, con más del 50% de los ataques dirigidos a estas dos industrias. En cuanto a los dispositivos atacados, no sorprende que la mayoría de los dispositivos IoT comprometidos sean routers. En otros sectores, los dispositivos IoT más vulnerables son los terminales de recogida de datos (79,8 %), utilizados principalmente en el comercio minorista. Casi el 75% de las Common Weakness Enumerations (CWEs) explotadas están relacionadas con vulnerabilidades de inyección de comandos, que permiten a los atacantes ejecutar órdenes no autorizadas, lo que a menudo lleva a la descarga e instalación de scripts iniciales (stager scripts) o binarios maliciosos. 
 

AeI: Centrándonos en el ámbito industrial, ¿cuáles son los riesgos específicos que corren las empresas industriales frente a ataques cibernéticos?

P.V.: Las redes de los operadores de infraestructuras críticas, como los de los sectores de la manufactura, el transporte y la energía, siempre han sido difíciles de proteger. Debido al gran número de identidades no protegidas y de dispositivos OT/IoT sin asegurar, estos sectores continúan siendo un objetivo principal para los ciberataques. Esta amenaza no se limita a compromisos iniciales por parte de los atacantes, sino que también incluye su capacidad para moverse lateralmente a través de las redes OT y las redes IT conectadas antes de desplegar ransomware y preparar cargas maliciosas.
 

Las herramientas de IA transformarán aún más la gestión de la seguridad en entornos IoT y OT. La IA permitirá automatizar funciones críticas, como el descubrimiento de activos IoT y OT en entornos complejos, y facilitará la segmentación y el control de estos entornos a gran escala. Además, la IA puede contribuir a adaptar mejor las políticas de seguridad IoT/OT en función de los riesgos en tiempo real. Esto permite a los defensores recuperar el control de sus entornos IoT y OT y priorizar mejor sus acciones para alcanzar un mayor nivel de seguridad.
 

AeI: Para terminar, ¿qué impacto tiene NIS II en el panorama general de ciberseguridad a nivel europeo?

P.V.: Durante mucho tiempo, las empresas han actuado de forma reactiva, abordando las ciberamenazas a medida que surgen, en lugar de fortalecer sus defensas de manera proactiva. Sin embargo, la introducción de marcos normativos como NIS 2 y DORA marca un cambio de rumbo, instando a adoptar un enfoque proactivo en materia de ciberseguridad. Al identificar metódicamente las brechas en los marcos de seguridad existentes y proponer medidas concretas, los equipos de seguridad pueden comunicar eficazmente los requisitos de cumplimiento a la alta dirección.
 

Además, la consolidación de los entornos tecnológicos y la implementación de soluciones de seguridad basadas en la nube ofrecen estrategias prácticas para mitigar riesgos persistentes y mejorar la ciberresiliencia.
 

Si bien las normativas impulsan cambios organizativos, es fundamental entender que el cumplimiento por sí solo no impulsa la innovación, sino que garantiza la adhesión a estándares establecidos. Por ello, las auditorías regulatorias deben integrarse en un ciclo continuo, permitiendo al personal de seguridad mantenerse al día frente a amenazas en evolución y optimizar continuamente los marcos de seguridad. Adoptar una mentalidad proactiva y transformar el enfoque de la ciberseguridad proporciona a las organizaciones una ventaja significativa. Esto no solo facilita un cumplimiento más fluido y rentable, sino que también reduce los riesgos y mejora la resiliencia empresarial. Al priorizar la gestión proactiva de riesgos y la preparación ante ciberamenazas, las organizaciones pueden afrontar con confianza las amenazas emergentes y proteger sus activos digitales en un mundo en rápida evolución y cada vez más inestable.

----

Esta entrevista aparece publicada en el nº 563 de Automática e Instrumentación págs 66 y 67.