La Nueva Ciberseguridad en el Entorno Industrial Digital

La Industria 4.0 está caracterizada por una alta digitalización de los sistemas y los procesos industriales, así como por la interconexión de los productos, las cadenas de valor y los modelos de negocio. Algunas de las motivaciones que están impulsando este cambio son una mejor integración y gestión de las cadenas de valor, tanto verticales como horizontales, lo cual incrementará la productividad de las empresas; la interconexión de productos y servicios, ofreciendo una mayor competitividad a las empresas e ingresos adicionales; y la creación de nuevos modelos de negocio, a menudo disruptivos, basados en tecnologías digitales y personalizados, que aportarán un valor añadido al cliente. 

La Industria 4.0 está caracterizada por una alta digitalización de los sistemas y los procesos industriales, así como por la interconexión de los productos, las cadenas de valor y los modelos de negocio. Algunas de las motivaciones que están impulsando este cambio son una mejor integración y gestión de las cadenas de valor, tanto verticales como horizontales, lo cual incrementará la productividad de las empresas; la interconexión de productos y servicios, ofreciendo una mayor competitividad a las empresas e ingresos adicionales; y la creación de nuevos modelos de negocio, a menudo disruptivos, basados en tecnologías digitales y personalizados, que aportarán un valor añadido al cliente. 

Sin embargo, no todo son buenas noticias en cuanto a digitalizar e interconectar la industria. Los sistemas industriales han esquivado parcialmente las amenazas de la ciberseguridad hasta el momento, pero para poder evolucionar deben asumirse nuevos retos e intentar minimizar los riesgos intrínsecos de los nuevos recursos tecnológicos que se adoptan. El hecho de conectar las infraestructuras IT (Information Technologies) con las infraestructuras OT (Operational Technologies), o incluso empezar a conectar directamente a Internet sistemas de control industrial (PLCs, brazos robóticos, robots móviles, contadores, sensores, etc.), ya hace que debamos cambiar la forma en la que entendíamos hasta hace pocos días la ciberseguridad en estos entornos. Hemos pasado de un modelo de seguridad basado en el aislamiento de los sistemas productivos y su ofuscación, a un modelo donde el perímetro a proteger es cada vez más difuso. Sin embargo, muchas empresas no son del todo conscientes de esta situación. 

Mitos de la ciberseguridad industrial 

Las infraestructuras OT se construyeron para estar disponibles el mayor tiempo posible, para ser fiables y seguras (safety) para los trabajadores. Durante décadas, las puertas y los candados fueron sus principales mecanismos de protección. La ciberseguridad ni siquiera se consideraba una preocupación en ese momento y se limitaban simplemente a aislar la red operacional del resto de redes corporativas. De ahí que muchas empresas desarrollaran algunas creencias sobre la ciberseguridad industrial, que durante años han servido para justificar la política de no realizar acciones para mejorar la ciberseguridad. Algunos de estos mitos son: 
 

• Las redes OT están absolutamente aisladas de Internet y de las redes corporativas; por lo tanto, no hay riesgo de ciberseguridad. 
• Las redes OT utilizan sólo sistemas y protocolos propietarios, y los atacantes no los conocen en profundidad. 
• Los sistemas de control industrial están protegidos contra ciberataques porque hay un firewall entre la red OT y las otras redes. 
• La comunicación en serie (no enrutable) entre un centro de control y los sitios remotos proporciona inmunidad contra los ciberataques. 
• ¿Por qué alguien se va a molestar en atacar una red industrial? 
• Mucha gente cree que los atacantes sólo se mueven por dinero, por tanto, no tienen mucho que ganar atacando a infraestructuras industriales. 
• En caso de ataque a las redes IT, la maquinaria puede funcionar de forma aislada e independiente, ya que está conectada a la red OT, y por lo tanto el riesgo de caída de la producción es muy bajo. 
   

Más dispositivos conectados, más superficie de ataque 

El número de dispositivos conectados a nivel mundial sigue creciendo cada año. Según IoT Analytics y Statista, en 2025 habrá alrededor de 19,8 mil millones de dispositivos IoT conectados en el mundo, y se espera que esta cifra supere los 40 mil millones para 2030. Pero, así como crece el número de dispositivos conectados a Internet, también lo hace el número de amenazas. Por lo tanto, no sólo la industria se va a beneficiar de esta nueva revolución, sino que, lamentablemente, también lo van a hacer los cibercriminales mediante la perpetración de ataques, ya sea mediante el secuestro de datos, el robo de información sensible o la denegación de servicios, entre otros. 
 

Los atacantes disponen de herramientas y técnicas en constante desarrollo, en una carrera permanente contra los proveedores de sistemas de protección. Entre dichas herramientas existen algunas dedicadas exclusivamente a listar dispositivos accesibles desde Internet, algunas tan sencillas y académicas como Shodan.io pero otras mucho más complejas y que además permiten buscar dispositivos tanto en IPv4 como IPv6 (muchas empresas olvidan sistemáticamente cerrar estas direcciones). Y esto unido a que muchos dispositivos IoT o IIoT carecen de mecanismos de ciberseguridad que les permitan protegerse de las amenazas existentes: utilizan contraseñas débiles, interfaces inseguras o servicios de red inseguros con puertos abiertos que exponen el dispositivo. Además, la variedad de tecnologías de transmisión en entornos como el IoT tampoco ayuda al establecimiento de protocolos de protección estandarizados. 
 

Conclusiones 

Después de todo, es importante que todas las empresas sean conscientes de que han de tomar medidas para evitar los ataques, dirigidos o no, de cibercriminales donde la mayoría de las veces su motivación será económica. Desde el sensor hasta el sistema en el Cloud, todas las partes de la integración vertical de los datos deberían pasar mantenimientos periódicos (entre 3 meses y 6 meses) y auditorías. Detectar una intrusión en el sistema es el último eslabón, pero hay una serie de pasos previos que nos pueden permitir reducir los riesgos de forma significativa. 

La Industria 4.0 es una realidad para muchas empresas. La evolución a Industria 4.0 junto con la digitalización es un paso que dar para toda empresa industrial que no lo haya dado todavía. Tarde o temprano, todas las empresas se verán obligadas a mantener el nivel de competitividad respecto a las empresas que ya hayan evolucionado digitalmente, y pudiendo aumentar la oferta de productos y servicios. Tecnologías emergentes como el Data Mining o la Inteligencia Artificial (IA) ofrecerán muchas oportunidades de optimización de procesos y mantenimiento predictivo, entre otras. Estas tecnologías requieren de sistemas interconectados para conseguir su máximo provecho y ahí es cuando deberemos tener en cuenta la gestión de la ciberseguridad. Pero sin duda, los beneficios son muy grandes y los riesgos asociados a la ciberseguridad son controlables. 

Juan Caubet (Eurecat), Óscar Lage (Tecnalia), Carlos Pérez (Universal Robots), Jan Puig (Mitsubishi Electric FA ES-PT) y Xavier Nieto (AG)

----

Este artículo aparece publicado en el nº 565 de Automática e Instrumentación págs 38 a 39.