CIBERSEGURIDAD han pasado de utilizar softwares maliciosos (malware) orientado a sistemas TI a utilizar malware modular avanzado que aprovecha vulnerabilidades en protocolos industriales. A mediados de 2010, la empresa VirusBlokAdase descubrió el malware Stuxnet, el primer software conocido que espiaba y repro- gramaba sistemas industriales. Se cree que su misión era inhabilitar centrales nucleares iranís y su infección se produjo mediante memo- rias USB montadas por sistemas operativos Windows. Una vez el malware estaba dentro, reprogramaba PLCs Siemens para parar turbi- nas de plantas nucleares. En 2011, McAfee publicó la operación Night Dragon, un ciberataque que desde mediados de 2006 estuvo espiando y sustrayendo información confidencial de importantes compañías petroquímicas, de gas y de petróleo. En septiembre de 2011 se des- cubrió Duqu, un malware muy parecido a Stuxnet, de hecho, se piensa que sus creadores pueden ser los mismos. En este caso, la infección se producía mediante un documento ofimático enviado en un correo electrónico y obtenía información de los sistemas SCADA, robaba cre- denciales, claves de certificados digitales, etc. En 2012 se descubrió Flame, un malware muy complejo que se utilizaba con propósitos de espionaje (activaba la cámara, el micrófono, se autopropagaba, etc.). Su infección podía venir del uso de memorias USB o por spear-phising. En 2013 se descubrió Havex, un malware utilizado para espiar a com- pañías energéticas, de aviación, farmacéuticas, petroquímicas o de defensa de Estados Unidos y Europa, valiéndose del protocolo OPC, utilizado para el control y supervisión de procesos industriales. El año 2015 se detectaron dos ataques muy sofisticados, BlackEnergy e Industroyer. En los dos casos, el objetivo eran principalmente com- pañías eléctricas. BlackEnergy realizaba un ataque de denegación de servicio y proporcionaba una puerta de entrada al atacante al sistema infectado. En el caso de Industroyer, este fue diseñado para destruir los sistemas industriales infectados. Ya en 2017, se detectó el malware Triton, el cual fue creado para interactuar con los controlado- res Triconex Safety Instrumented System (SIS) de Schneider Electric, y poder así cambiar su comportamiento causando la detección de la producción o daños mayores en la infraestructura. El eslabón más débil Tal y como hemos visto en varios de los casos anteriores, indepen- dientemente de la complejidad y potencia del malware, el canal de infección ha seguido siendo el eslabón más débil de la cadena, el tra- bajador que interactúa con algún dispositivo de la infraestructura. Ya sea mediante la ejecución de un archivo ofimático infectado que le ha llegado en un correo electrónico o montando una memoria USB en un sistema operativo concreto, el trabajador desencadena el desastre. Lo mismo ocurre en la mayoría de casos de secuestro de datos (ransomware). Esta situación es crítica, ya que no sólo afecta a la ciberseguridad en la industria, sino que aplica a la ciberseguridad en general y se debe afrontar de forma transversal en toda la organización. La conciencia- ción es fundamental y se deben dedicar tiempo y recursos a ello, se deben realizar cursos de formación en ciberseguridad para que los trabajadores cometan el menor número de errores posibles y, por supuesto, se les debe dotar de herramientas para ello. Soporte al especialista Como ya se ha comentado anteriormente, en la Industria 4.0 el con- cepto de perímetro de defensa es cada día más difuso y, por ello, es muy importante que los dispositivos finales (IoT) empiecen a incorpo- rar sistemas de protección como el almacenamiento seguro de claves criptográficas, implementar protocolos de seguridad como TLS y dis- poner de sistemas inmunes. Para ello, es muy importante que tanto los fabricantes, aplicando seguridad desde el diseño (Security-by-Design), privacidad desde el diseño (Privacy-by-Design) o desarrollo seguro, como los instaladores y administradores, usando los protocolos y medidas de seguridad implementadas o segmentado redes, sean cons- cientes de lo que se juegan y actúen en consecuencia, formándose si es necesario y construyendo una arquitectura segura. Por otro lado, también cabe destacar que la detección de ciertos ataques se está haciendo muy complicada para los especialistas en ciberseguridad, ya que en muchos casos los atacantes utilizan vecto- res de entrada novedosos y/o mecanismos que los sistemas de defensa no detectan (defensa pasiva). Pero más allá de tener el conocimiento necesario para detectar un APT en su infraestructura, el especialista necesita de nuevas herramientas para combatir estos ataques, como puedes ser la Inteligencia Artificial. A día de hoy, compartir información de amenazas, vulnerabilidades o ataques e interpretarla adecuadamente es fundamental para afrontar los retos de ciberseguridad que tenemos hoy en día y los que están por venir. Esta información permitiría realizar una buena defensa activa, es decir, realizar acciones destinadas a identificar amenazas y ataques dentro de la infraestructura y tomar medidas determinadas en estos casos.• 61