El aumento de los ciberataques a la tecnología operativa está interrumpiendo actividades cruciales en los sectores industrial y de infraestructura crítica

Imagen: Zdzisław Beksiński

Por Víctor Ruiz, fundador de SILIKN, Instructor Certificado en Ciberseguridad (CSCT™), (ISC)² Certified in Cybersecurity℠ (CC), EC-Council Ethical Hacking Essentials (EHE) Certified, EC-Council Certified Cybersecurity Technician (CCT), Ethical Hacking Certified Associate (EHCA), Cisco Ethical Hacker y líder del Capítulo Querétaro de la Fundación OWASP.

En 2024, los ataques de ransomware dirigidos a la manufactura, el sector petrolero, el gas y otras industrias experimentaron un crecimiento significativo, impulsados por la aparición de nuevos grupos enfocados en vulnerar la tecnología operativa (OT). Como resultado, cerca del 25% de las empresas afectadas se vieron obligadas a detener sus operaciones.

En total, el año pasado se produjeron casi 1,550 ataques de ransomware que lograron infiltrarse en organizaciones industriales, de acuerdo con un análisis de la unidad de investigación de SILIKN. Se trata de un aumento del 92.5% con respecto al año anterior. Las filtraciones provocaron que el 35.5% de los sitios afectados detuvieran sus operaciones, mientras que el 64.5% de los ataques provocaron interrupciones operativas en algún grado.

Por ejemplo, el 13 de noviembre de 2021, un ciberatacante de origen ruso puso a la venta en un foro clandestino el acceso a Aguas y Riles, empresa chilena de agua y saneamiento, actualmente parte de Almar Water Servicios Latam. Esta compañía emplea un sistema SCADA para supervisar y gestionar procesos esenciales, como el control de estanques de agua, estaciones de bombeo, niveles de líquidos y sistemas de alcantarillado en todo Chile. Dicho sistema permite a los directivos y equipos técnicos monitorear y administrar en tiempo real el estado de dispositivos, bombas y otros equipos críticos.

El sistema en cuestión está diseñado para la supervisión y gestión de la distribución de agua y aguas residuales en Chile, permitiendo monitorear equipos en tiempo real, administrar alarmas y optimizar la eficiencia operativa. Su acceso de administrador (ADMIN) otorga control total sobre el sistema SCADA, incluyendo la configuración de dispositivos, la supervisión de alarmas y advertencias, el acceso a informes históricos, la modificación de ajustes y el monitoreo del rendimiento del sistema desde cualquier ubicación. Este sistema utiliza un subdominio para gestionar tanques de agua, estaciones de bombeo y redes de alcantarillado en todo el país, proporcionando actualizaciones automáticas sobre sensores y dispositivos.

Obtener acceso de ADMIN concede control absoluto sobre los procesos de monitoreo y administración de los recursos hídricos y de saneamiento en el país. Esto incluye acceso a información confidencial, alarmas y advertencias en tiempo real, lo que podría permitir tomar acciones inmediatas ante cualquier incidente. Un acceso no autorizado a este sistema representa un riesgo significativo, ya que cualquier alteración podría ocasionar graves consecuencias financieras y sociales.

El creciente interés de los atacantes en los sistemas de tecnología operativa (OT) coincide con la persistencia de vulnerabilidades en estos entornos. Un estudio realizado por la unidad de investigación de SILIKN, que analizó un millón de dispositivos OT, reveló que el 51.9 % de las organizaciones en México tienen al menos un activo expuesto a Internet de manera insegura, mientras que cerca de un tercio cuenta con un dispositivo en línea que presenta una vulnerabilidad conocida y explotada activamente.

Un aspecto relevante es que el sector manufacturero en México destacó el año pasado por razones preocupantes, ya que el 34.8% de las organizaciones en esta industria presentaron al menos una vulnerabilidad asociada a ataques de ransomware.

El incremento en la vulnerabilidad de los sistemas OT no es la única tendencia preocupante. El crecimiento en el número de grupos criminales ha intensificado el panorama de amenazas. En 2024, la unidad de investigación de SILIKN identificó al menos 120 grupos involucrados en ciberataques, lo que representa un aumento del 75.1 % en comparación con el año anterior. De estos, la mitad dirigió sus ataques específicamente contra el sector industrial.

El aumento de los ciberataques está directamente relacionado con la evolución de los lazos entre grupos criminales y atacantes respaldados por Estados-nación. En 2024, no solo emergieron nuevos adversarios centrados en atacar la infraestructura, sino que también se detectaron conexiones relevantes entre atacantes estatales y grupos cibercriminales independientes. En un entorno de crecientes tensiones geopolíticas, una tendencia alarmante es que tanto atacantes patrocinados por gobiernos como delincuentes cibernéticos operan contra infraestructuras críticas, a pesar de que autoridades lo nieguen.

Además, un programa que se enfoque únicamente en bloquear los activos OT sin establecer prioridades adecuadas estaría sobrepasado por la gran cantidad de vulnerabilidades. A su vez, el aumento de las tensiones geopolíticas ha incrementado considerablemente los riesgos para sectores estratégicos. Los hacktivistas han centrado sus ataques en infraestructuras clave, como plantas de agua y centrales eléctricas, mientras que los grupos asociados a Estados-nación han intensificado el uso de malware dirigido a sistemas de control industrial. No obstante, el ransomware sigue siendo la principal amenaza para las redes industriales, seguido por errores humanos y configuraciones incorrectas del hardware.

Para mayor información, visite: https://www.silikn.com/