TRIBUNA DE OPINIÓN Sin embargo, no todo son buenas noticias en cuanto a digi- talizar e interconectar la industria. El hecho de empezar a conectar directamente a Internet sistemas de control indus- trial (PLCs, brazos robot, contadores, sensores, etc.), por ejemplo, ya hace que debamos cambiar la forma en la que entendíamos hasta hace pocos días la ciberseguridad en estos entornos. Hemos pasado de un modelo de seguridad basado en el aislamiento de los sistemas productivos y su ofuscación, a un modelo donde el perí- metro a defender es cada vez más difuso. Más dispositivos conectados, más superficie de ataque Según Cisco, en el año 2020 el número de dispositivos conectados a Internet superará los 50 billones, pero así como crece el número de dispositivos conectados a Internet, también lo hace el número de amenazas. Por lo tanto, no sólo la industria se va a beneficiar de esta nueva revolución, sino que, lamentablemente, también lo van a hacer los cibercriminales mediante la perpetración de ataques, ya sea mediante el cobro de rescates, de las extorsiones o la venta de información en la Deep Web. Las carencias en materia de ciberseguridad de estos nuevos entor- nos industriales (Industrial IoT, IIoT), y de los propios dispositivos que los conforman, hacen que estos últimos se hayan convertido en un claro objetivo para los cibercriminales que quieren llevar a cabo ataques, como por ejemplo, el robo masivo de datos sensibles, tanto personales como corporativos; ataques de denegación de servicio distribuidos (DDoS, de sus siglas en inglés) contra servicios de terce- ros en Internet; ataques de bloqueo/secuestro de dispositivos, que pueden llegar a bloquear infraestructuras críticas o de seguridad nacional/internacional, y ataques de manipulación de dispositivos que pueden tener un impacto ciberfísico y causar daños materiales a la infraestructura y a los usuarios o a la población en general. Esto nos hace pensar que los ciberataques contra infraestructuras críticas, y contra la industria en general, irán en aumento en los próximos años. Por tanto, es necesario desplegar mecanismos y contramedidas para proteger dichos sistemas desde ya. ¿Qué ha sucedido en los últimos años? En los últimos años se han detectado multitud de ciberataques a industrias e infraestructuras críticas, y lo más significativo es que detrás de la mayoría de ellos había una amenaza persistente avanzada (APT, de sus siglas en inglés) cada vez más sofisticada. Esto quiere decir que los cibercriminales también evolucionan, han pasado de utilizar softwares maliciosos (malware) orientado a sistemas TI a utilizar malware modular avanzado que aprovecha vulnerabilidades en protocolos industriales. A mediados de 2010, la empresa VirusBlokAdase descubrió el malware Stuxnet, el primer software conocido que espiaba y reprogramaba sistemas industriales. Se cree que su misión era inha- bilitar centrales nucleares iranís y su infección se produjo mediante memorias USB montadas por sistemas operativos Windows. Una vez el malware estaba dentro, reprogramaba PLCs Siemens para parar turbinas de plantas nucleares. En 2011, McAfee publicó la operación Night Dragon, un ciberataque que desde mediados de 2006 estuvo espiando y sustrayendo información confidencial de importantes compañías petroquímicas, de gas y de petróleo. En septiembre de 2011 se descubrió Duqu, un malware muy pare- cido a Stuxnet, de hecho, se piensa que sus creadores pueden ser los mismos. En este caso, la infección se producía mediante un documento ofimático enviado en un correo electrónico y obtenía información de los sistemas SCADA, robaba credenciales, cla- ves de certificados digitales, etc. En 2012 se descubrió Flame, un malware muy complejo que se utilizaba con propósitos de espio- naje (activaba la cámara, el micrófono, se autopropagaba, etc.). Su infección podía venir del uso de memorias USB o por spear-phising. En 2013 se descubrió Havex, un malware utilizado para espiar a compañías energéticas, de aviación, farmacéuticas, petroquímicas o de defensa de Estados Unidos y Europa, valiéndose del protocolo OPC, utilizado para el control y supervisión de procesos indus- triales. El año 2015 se detectaron dos ataques muy sofisticados, BlackEnergy e Industroyer. En los dos casos, el objetivo eran prin- cipalmente compañías eléctricas. BlackEnergy realizaba un ataque de denegación de servicio y proporcionaba una puerta de entrada al atacante al sistema infectado. En el caso de Industroyer, este fue diseñado para destruir los sistemas industriales infectados. Ya en 2017, se detectó el malware Triton, el cual fue creado para interactuar con los controladores Triconex Safety Instrumented System (SIS) de Schneider Electric, y poder así cambiar su compor- tamiento causando la detección de la producción o daños mayores en la infraestructura. El eslabón más débil Tal y como hemos visto en varios de los casos anteriores, indepen- dientemente de la complejidad y potencia del malware, el canal de infección ha seguido siendo el eslabón más débil de la cadena, el trabajador que interactúa con algún dispositivo de la infraes- tructura. Ya sea mediante la ejecución de un archivo ofimático infectado que le ha llegado en un correo electrónico o montando una memoria USB en un sistema operativo concreto, el trabajador desencadena el desastre. Lo mismo ocurre en la mayoría de casos de secuestro de datos (ransomware). Esta situación es crítica, ya que no sólo afecta a la ciberseguridad en la industria, sino que aplica a la ciberseguridad en general y se debe afrontar de forma transversal en toda la organización. La con- cienciación es fundamental y se deben dedicar tiempo y recursos a ello, se deben realizar cursos de formación en ciberseguridad para que los trabajadores cometan el menor número de errores posibles y, por supuesto, se les debe dotar de herramientas para ello. Hemos pasado de un modelo de seguridad basado en el aislamiento de los sistemas productivos a un modelo donde el perímetro a defender es cada vez más difuso 33