La seguridad de las infraestructuras, objetivo prioritario

Vicente Díaz Kaspersky

Vicente Díaz  (Kaspersky): “A veces un suceso involuntario puede ser tan grave como un ataque dirigido”

“Hasta los routers de comunicaciones son aptos para correr aplicaciones, lo cual supone un riesgo potencial si se ejecutan apps maliciosas”

“Big Data es otro concepto un tanto difuso, pero en tanto en cuanto se trabaja con ingentes cantidades de datos, es preciso reforzar las políticas de seguridad”

“Además, está la balcanización de Internet, que hace que haya tantas legislaciones como países”


El apartado de la seguridad es uno de los más críticos en el contexto de las ciudades inteligentes. Desde SC Actual Smart City tratamos de prestar atención a este capítulo tan controvertido y árido y que a día de hoy sigue estando en un punto de madurez mejorable. Sin ir más lejos, aún no hay una estandarización de la seguridad y se camina lentamente hacia ella, cuando prácticamente la totalidad de áreas relacionadas con las Smartcities está trabajando en la dirección de estandarizar métodos, protocolos y tecnologías.

La seguridad tiene múltiples facetas, pero en esta ocasión nos centraremos en la faceta más tecnológica de la mano de Kaspersky Lab (www.kaspersky.es), una empresa con 16 años de antigüedad, centrada en sus comienzos en el mundo del PC y los antivirus para ordenadores, pero que con el tiempo ha ido extendiendo el concepto de seguridad a otros dispositivos y sistemas.

Eugene Kaspersky, director ejecutivo y presidente de Kasperky Lab, hablaba de los riesgos asociados con las infraestructuras críticas y la seguridad industrial y de hecho dentro de Kaspersky hay un área específica para esta temática: CIP (Critical Infrastructure Protection) & Industrial Scurity (www.kaspersky.com/industrial-security-cip). Ejemplos como el de Stuxnet muestran que el malware puede afectar negativamente a los procesos tecnológicos, y en la práctica existen muchos ordenadores industriales infectados con software malicioso.

En cuanto al Internet de las Cosas, según IDC habrá más de 30.000 millones de dispositivos inteligentes conectados a Internet en 2020. Una cifra significativa y más si se tiene en cuenta que ya se ha dado el caso de que una red compuesta por más de 100.000 máquinas conectadas habían estado enviando hasta 750.000 correos de tipo spam. Es más, según la opinión de expertos en seguridad como Pedro García de Kaspersky, en el futuro puede que las empresas aseguradoras contemplen la seguridad de los dispositivos electrónicos como una variable para dimensionar la cuota del seguro del hogar.

Karspersky

De este y otros temas, como la legislación o la estandarización de la seguridad, hablamos con Vicente Díaz, analista Senior de Malware de Kaspersky Lab. Vicente Díaz es Senior Malware Analyst y forma parte de GREAT (Global Research & Analyst Team), grupo de investigación cuyo principal objetivo es el análisis de código malicioso en distintas áreas y sectores; así como el estudio de comportamiento y tendencias del malware. Entre sus responsabilidades, destaca el análisis de nuevas amenazas y código malicioso, con especialización en fraude y troyanos bancarios. 

SCASC- ¿Cuál es la visión de la seguridad en el contexto de la Smart City?

Vicente Díaz.- Cuando hablamos de Smart City nos enfrentamos a un concepto claro por un lado, a nivel teórico como modelo, pero a la hora de implementarlo nos encontramos con importantes variaciones de país a país, de ciudad a ciudad y de caso a caso. Se trabaja en la dirección de homogeneizar conceptos e implementaciones y llegar a estándares, pero cuando se habla de seguridad es complicado sistematizarla.

SCASC – Centrándonos en el apartado de las infraestructuras críticas y el sector industrial, ¿qué razones hay para que estos elementos capten el interés de una empresa como Kaspersky?

VD- Hay que tener en cuenta que en cuando hablamos de infraestructuras críticas como las redes de distribución energética, de agua, carreteras, etcétera, en no pocos casos hablamos de instalaciones con una antigüedad de varias décadas. Se van actualizando, pero no de una manera sustancial. Sobreviven porque se trata de sistemas oscuros, ofuscados, de difícil acceso. La seguridad por oscuridad funciona en estas infraestructuras, donde nadie sabe muy bien cómo funcionan. Pero de hace diez años hacia acá, están empezando a verse sus vulnerabilidades. Para sistemas nuevos se tiene en cuenta la seguridad desde una perspectiva contemporánea, pero para sistemas antiguos hay que idear soluciones para cada caso.  Kaspersky está trabajando en un sistema operativo específico para sistemas SCADA industriales para dar una seguridad integral. La dificultad viene del lado de la complejidad de estos sistemas industriales, y la necesidad de ir caso por caso auditando y securizando las infraestructuras.

Los problemas en estas infraestructuras no necesariamente deben venir por parte de ataques organizados en escenarios apocalípticos. A veces un suceso involuntario puede ser tan grave como un ataque dirigido. Dada la índole crítica de instalaciones como una central energética, es importante trabajar para blindar estas infraestructuras.

SCASC- El sistema operativo específico para sistemas de control industrial lleva ya años en proceso de desarrollo dentro de Kaspersky. ¿Podrías contarnos un poco más acerca de él?

VD- Es cierto que a desde hace varios años existe este proyecto dentro de Kaspersky. Pero de momento es complicado implementar una solución de esta índole en los sistemas industriales. Se trabaja con diferentes clientes, pero no con el ánimo de implementar una solución de esta índole aun. En seguridad es complicado llegar a un punto de completitud, de que ya esté todo hecho, de modo que por ahora el trabajo consiste en avanzar en otras direcciones como la simulación de amenazas y su prevención empleando las tecnologías existentes.

SCASC – A nivel de dispositivos “Smart”, Eugene también ha hablado de los riesgos asociados a las Smart TVs, por ejemplo. Equipos conectados a la red doméstica, con capacidad para ejecutar aplicaciones. ¿Qué riesgos conlleva usarlos y cómo se pueden  prevenir?

VD- Todo empezó con los smartphones: se dejaron de usar ordenadores y ahora estamos rodeados de dispositivos conectados de todo tipo. Desde routers, hasta tabletas, pasando por la nevera o la televisión. El problema aquí es que hablamos de decenas de equipos diferentes con sistemas operativos también distintos. La solución pasaría por tener dispositivos encargados de escanear la seguridad del resto, al menos en una primera fase, para luego hablar con los fabricantes para tratar de integrar las soluciones de seguridad a nivel de sistema. Pero aquí nos encontramos con la oposición de algunos fabricantes que pueden no ver con buenos ojos que hay un antivirus instalado en, digamos, la batidora. Hoy en día hasta los routers de comunicaciones son aptos para correr aplicaciones, lo cual supone un riesgo potencial si se ejecutan apps maliciosas. Más que las compañías de seguridad, serán los fabricantes los que tengan que adoptar iniciativas en esta dirección, posiblemente sólo después de que vean las orejas al lobo tras algún episodio de crisis.

SCASC- Así pues, el Internet de las Cosas parece ser un territorio complicado de explorar desde la perspectiva de la seguridad. 

VD- El mercado se está fragmentando en el campo de los dispositivos “Smart”, y es complicado hablar de protocolos. Desde un punto de vista orgánico, la diversidad es buena en ocasiones. Si todos los fabricantes adoptan medidas diferentes, es más complicado realizar un ataque coordinado. En el caso de Heartbleed, el agujero de seguridad que ha afectado a OpenSSL, el problema fue precisamente que la práctica totalidad de los servidores usaba OpenSSL.

SCASC- En el contexto de la seguridad de los servidores y los centros de datos, ¿qué supone un problema de seguridad con Heartbleed?

VD- Las implicaciones de seguridad de Heartbleed son muy graves. Es un poco deprimente ver cómo los pilares fundamentales sobre los que se apoyan las estrategias de seguridad de muchas empresas estaban huecos. Y aún se están descubriendo datos que hacen aún más preocupantes las implicaciones. Por ejemplo, parece ser que la vulnerabilidad de OpenSSL ya se están usando con fines maliciosos hace del orden de un año. Este tipo de vulnerabilidades permiten que se descarguen ingentes cantidades de datos de los servidores de compañías con información sobre clientes, cuentas bancarias, transacciones, o incluso el cifrado de comunicaciones. Big Data es otro concepto un tanto difuso, pero en tanto en cuanto se trabaja con ingentes cantidades de datos, es preciso reforzar las políticas de seguridad.

El mayor problema es que se hace complicado examinar el estado de las medidas de seguridad de las empresas, que se pueden negar a hacer este tipo de antivirus, por lo que al final, los problemas se descubren cuando se dan en el contexto de un ataque real. Sería conveniente contar con legislaciones que potenciaran la simulación proactiva de situaciones que comprometiesen la robustez de los equipos y sistemas. Si las empresas no reportan problemas ante los accionistas y usuarios, se niegan y ya está. No se puede demostrar lo bien que funciona la seguridad, pero sí lo mal que trabaja. Pero si no se tienen la obligación de informar sobre los problemas que surjan, no se pone solución, y al final el que gana es el atacante.

Además, está la balcanización de Internet, que hace que haya tantas legislaciones como países, y lo que es legal en uno es ilegal en otro, complicando el desarrollo de políticas de seguridad robustas y estándar. Una empresa puede tener servidores en un país y operar en otro, por ejemplo.

Stuxnet es un gusano informático descubierto en junio de 2010, que se especializa en el espionaje y reprogramación de sistemas industriales SCADA, empleados en el control de infraestructuras tan delicadas como las centrales nucleares. Este malware puede reprogramar los controladores lógicos o PLC, de modo que en principio podría, por ejemplo, cambiar las tolerancias en las piezas fabricadas con un robot industrial para la industria aeronáutica.

Central Nuclear

Utilizamos cookies propias y de terceros para posibilitar y mejorar su experiencia de navegación por nuestra web. Si continua navegando, consideramos que acepta su uso.