{"id":2401,"date":"2017-10-18T15:35:36","date_gmt":"2017-10-18T18:35:36","guid":{"rendered":"https:\/\/www.nachodelatorre.com.ar\/mosconi\/?p=2401"},"modified":"2017-10-18T15:35:36","modified_gmt":"2017-10-18T18:35:36","slug":"estadistica-de-las-amenazas-para-sistemas-de-automatizacion-industrial","status":"publish","type":"post","link":"https:\/\/www.fie.undef.edu.ar\/ceptm\/?p=2401","title":{"rendered":"Estad\u00edstica de las amenazas para sistemas de automatizaci\u00f3n industrial"},"content":{"rendered":"<p>El centro de respuesta a incidentes de seguridad inform\u00e1tica de Kaspersky Lab (Kaspersky Lab ICS CERT) publica los resultados de las investigaciones del panorama de amenazas para sistemas de automatizaci\u00f3n industrial recopilados en el primer semestre de 2017.<!--more--><\/p>\n<p><em>Durante muchos a\u00f1os los especialistas de Kaspersky Lab vienen descubriendo e investigando amenazas cibern\u00e9ticas dirigidas a diversos sistemas inform\u00e1ticos, tanto de organizaciones comerciales, instituciones estatales, bancos, operadores de telecomunicaciones y empresas industriales, como de personas particulares. El centro de respuesta a incidentes de seguridad inform\u00e1tica de infraestructuras industriales de Kaspersky Lab (<\/em><a href=\"https:\/\/ics-cert.kaspersky.com\/\" target=\"_blank\" rel=\"noopener noreferrer\"><em>Kaspersky Lab ICS CERT<\/em><\/a><em>) publica los resultados de las investigaciones del panorama de amenazas para sistemas de automatizaci\u00f3n industrial recopilados en el primer semestre de 2017.<\/em><\/p>\n<p><em>El informe refleja la situaci\u00f3n en los pa\u00edses de la Pen\u00ednsula Ib\u00e9rica y Latinoam\u00e9rica.<\/em><\/p>\n<p><em>El prop\u00f3sito principal de las publicaciones es informar a los equipos globales y locales de respuesta a incidentes, a los especialistas en seguridad inform\u00e1tica de empresas y a los investigadores especializados en la protecci\u00f3n de instalaciones industriales.<\/em><\/p>\n<p id=\"metodologia\"><strong>Metodolog\u00eda<\/strong><\/p>\n<p><em>Todos los datos estad\u00edsticos utilizados en este informe se derivan de la red antivirus distribuida\u00a0<\/em><a href=\"https:\/\/kas.pr\/Gzu1\" target=\"_blank\" rel=\"noopener noreferrer\"><em>Kaspersky Security Network<\/em><\/a><em>(KSN) y se obtuvieron en los equipos de los usuarios de KSN que dieron su consentimiento para su transmisi\u00f3n an\u00f3nima.\u00a0<\/em><\/p>\n<p>Los datos se obtuvieron de las computadoras de sistemas de control industrial protegidas por productos de Kaspersky Lab, que Kaspersky Lab ICS CERT considera infraestructura tecnol\u00f3gica de las organizaciones.<\/p>\n<p>Este grupo incluye equipos que ejecutan sistemas operativos Windows y que cumplen una o m\u00e1s de las siguientes funciones:<\/p>\n<ul>\n<li>servidores de supervisi\u00f3n, control y adquisici\u00f3n de Datos (SCADA),<\/li>\n<li>servidores de almacenamiento de datos (Historian)<\/li>\n<li>pasarelas de datos (OPC),<\/li>\n<li>estaciones de trabajo de ingenieros y operadores,<\/li>\n<li>estaciones de trabajo m\u00f3viles de ingenieros y operadores,<\/li>\n<li>Human Machine Interface (HMI).<\/li>\n<\/ul>\n<p>Y tambi\u00e9n los equipos de empresas contratistas, de administradores de redes tecnol\u00f3gicas y de desarrolladores de software para sistemas de automatizaci\u00f3n industrial.<\/p>\n<p>Consideramos v\u00edctimas de ataques a los equipos en los que nuestras soluciones de protecci\u00f3n reaccionaron por lo menos una vez en el periodo abarcado por este informe. Para calcular el porcentaje de equipos atacados utilizamos el n\u00famero de equipos\u00a0<em>\u00fanicos\u00a0<\/em>atacados, en relaci\u00f3n con el total de equipos de nuestro muestreo y de los que recibimos informaci\u00f3n anonimizada durante el per\u00edodo cubierto por el informe.<\/p>\n<p>Vale decir que las restricciones de acceso a Internet impuestas a los equipos de la red industrial y a los equipos que componen la infraestructura de la red industrial pueden ser muy diferentes.<\/p>\n<p>Los servidores de control automatizado de procesos tecnol\u00f3gicos y las estaciones de trabajo de ingenieros y operadores a menudo no disponen de acceso directo y permanente a Internet debido a las limitaciones de la red industrial. Se puede abrir el acceso a Internet a estos equipos, por ejemplo, durante un proceso de mantenimiento tecnol\u00f3gico.<\/p>\n<p>Los equipos de los administradores de sistemas y redes, desarrolladores e integradores de sistemas de automatizaci\u00f3n industrial y los de contratistas que se conectan a la red industrial (por ejemplo, para supervisar su estado y prestar asistencia t\u00e9cnica) pueden tener conexiones frecuentes o incluso permanentes a Internet.<\/p>\n<p>Como consecuencia, en la muestra de equipos que Kaspersky Lab ICS CERT considera infraestructura tecnol\u00f3gica de las compa\u00f1\u00edas, cerca del 40% de los equipos a escala mundial se conectan regular o permanentemente a Internet. El resto se conecta a Internet m\u00e1ximo una vez al mes, y muchos menos de una vez al mes.<\/p>\n<p id=\"estadistica-de-amenazas\"><strong>Estad\u00edstica de amenazas<\/strong><\/p>\n<p>Por los escenarios de uso y las tecnolog\u00edas que se aplican, las\u00a0<a href=\"https:\/\/ics-cert.kaspersky.ru\/reports\/2017\/03\/28\/threat-landscape-for-industrial-automation-systems-in-the-second-half-of-2016\/#2l1\" target=\"_blank\" rel=\"noopener noreferrer\">redes industriales se asemejan cada vez m\u00e1s a las redes corporativas<\/a>. Por lo tanto, el panorama de las amenazas que afectan a los sistemas inform\u00e1ticos industriales se est\u00e1 volviendo similar al panorama de las amenazas a los sistemas corporativos.<\/p>\n<p>En la gran mayor\u00eda de los casos, los intentos de infectar los equipos de automatizaci\u00f3n industrial son accidentales y las funciones incluidas en el malware no tienen el objetivo espec\u00edfico de lanzar ataques a los sistemas de automatizaci\u00f3n industrial.<\/p>\n<p id=\"distribucion-de-equipos-atacados-segun-industria\"><strong>Distribuci\u00f3n de equipos atacados seg\u00fan industria<\/strong><\/p>\n<p>M\u00e1s de la mitad de todos los ataques afectaron a sistemas de control industrial de empresas de producci\u00f3n de diversos materiales, equipos y productos.<\/p>\n<div class=\"wp-caption aligncenter\"><a class=\"magnificImage\" href=\"https:\/\/securelist.lat\/files\/2017\/09\/170927-kl-ics-cert-esp-1.png\"><img class=\"size-full\" src=\"https:\/\/securelist.lat\/files\/2017\/09\/170927-kl-ics-cert-esp-1.png\" alt=\"\" \/><\/a><\/p>\n<p class=\"wp-caption-text\">\nDistribuci\u00f3n de equipos de sistemas de automatizaci\u00f3n industrial en Latinoam\u00e9rica por industrias, primer semestre de 2017<\/p>\n<\/div>\n<p id=\"porcentaje-de-equipos-atacados\"><strong>Porcentaje de equipos atacados<\/strong><\/p>\n<p>Durante la primera mitad de 2017, en Latinoam\u00e9rica los productos de Kaspersky Lab neutralizaron intentos de ataques en el\u00a0<strong>38,9%<\/strong>\u00a0de los equipos de automatizaci\u00f3n industrial que proteg\u00edan. En la Pen\u00ednsula Ib\u00e9rica, el porcentaje de los equipos de automatizaci\u00f3n industrial atacados fue menor en 5,3 puntos porcentuales, llegando a alcanzar el\u00a0<strong>34,6%<\/strong>. El promedio mundial fue del\u00a0<strong>37,6%.<\/strong><\/p>\n<div class=\"wp-caption aligncenter\"><a class=\"magnificImage\" href=\"https:\/\/securelist.lat\/files\/2017\/09\/170927-kl-ics-cert-esp-2.png\"><img class=\"size-full\" src=\"https:\/\/securelist.lat\/files\/2017\/09\/170927-kl-ics-cert-esp-2.png\" alt=\"\" \/><\/a><\/p>\n<p class=\"wp-caption-text\">\nPorcentaje de equipos de sistemas de automatizaci\u00f3n industrial atacados en la Pen\u00ednsula Ib\u00e9rica y Latinoam\u00e9rica, primer semestre de 2017<\/p>\n<\/div>\n<p>El siguiente mapa refleja el porcentaje de los sistemas de automatizaci\u00f3n industrial atacados en cada pa\u00eds en relaci\u00f3n con el n\u00famero total de dichos sistemas en el pa\u00eds.<\/p>\n<div class=\"wp-caption aligncenter\"><a class=\"magnificImage\" href=\"https:\/\/securelist.lat\/files\/2017\/09\/170927-kl-ics-cert-esp-3.png\"><img class=\"size-full\" src=\"https:\/\/securelist.lat\/files\/2017\/09\/170927-kl-ics-cert-esp-3.png\" alt=\"\" \/><\/a><\/p>\n<p class=\"wp-caption-text\">\nGeograf\u00eda de los ataques a sistemas de automatizaci\u00f3n industrial (porcentaje de equipos de SCI atacados, primer semestre de 2017), primer semestre de 2017<\/p>\n<\/div>\n<div class=\"wp-caption aligncenter\"><a class=\"magnificImage\" href=\"https:\/\/securelist.lat\/files\/2017\/09\/170927-kl-ics-cert-esp-4.png\"><img class=\"size-full\" src=\"https:\/\/securelist.lat\/files\/2017\/09\/170927-kl-ics-cert-esp-4.png\" alt=\"\" \/><\/a><\/p>\n<p class=\"wp-caption-text\">\nRanking de los pa\u00edses de la Pen\u00ednsula Ib\u00e9rica y Am\u00e9rica Latina seg\u00fan el porcentaje de equipos de automatizaci\u00f3n industrial atacados<\/p>\n<\/div>\n<p>Destacamos que los intentos de infecci\u00f3n fueron bloqueados en equipos de control industrial en todos los pa\u00edses de Latinoam\u00e9rica, pero hemos excluido del ranking los pa\u00edses donde el n\u00famero de sistemas de control industrial vigilados por Kaspersky Lab ICS no es suficiente para producir datos representativos.<\/p>\n<p>Los cambios m\u00e1s significativos en el porcentaje de equipos de control industrial atacados en el \u00faltimo semestre ocurrieron en Chile, pa\u00eds cuyo \u00edndice se redujo en 8 puntos porcentuales en comparaci\u00f3n con el segundo trimestre de 2016.<\/p>\n<p>Durante los primeros seis meses de 2017, el dinamismo de los atacantes tuvo variaciones. Registramos un aumento en la proporci\u00f3n de equipos de control industrial atacados en febrero y marzo, y su descenso en abril y junio.<\/p>\n<div class=\"wp-caption aligncenter\"><a class=\"magnificImage\" href=\"https:\/\/securelist.lat\/files\/2017\/09\/170927-kl-ics-cert-esp-5.png\"><img class=\"size-full\" src=\"https:\/\/securelist.lat\/files\/2017\/09\/170927-kl-ics-cert-esp-5.png\" alt=\"\" \/><\/a><\/p>\n<p class=\"wp-caption-text\">\nPorcentaje de equipos de sistemas de control industrial atacados por mes, primer semestre de 2017<\/p>\n<\/div>\n<p id=\"el-malware-en-los-sistemas-de-control-industrial\"><strong>El malware en los sistemas de control industrial<\/strong><\/p>\n<p>En la primera mitad de 2017, en los sistemas de automatizaci\u00f3n industrial de la Pen\u00ednsula Ib\u00e9rica detectamos m\u00e1s de 1100 diferentes modificaciones de malware pertenecientes a 474 familias. En Latinoam\u00e9rica detectamos m\u00e1s de 3000 diferentes modificaciones de malware pertenecientes a 800 familias.<\/p>\n<p>Las mismas categor\u00edas de software que atacan los equipos corporativos son relevantes para los equipos de sistemas de control industrial. Entre ellos se encuentran los troyanos esp\u00edas (Trojan-Spy y Trojan-PSW), las \u201cpuertas traseras\u201d (Backdoor), los programas extorsionistas (Trojan-Ransom) y los programas de tipo Wiper (KillDisk), que dejan los equipos fuera de servicio y borran los datos del disco duro. Estos programas son particularmente peligrosos para los equipos de la red industrial y una infecci\u00f3n puede conducir a la p\u00e9rdida de control o la interrupci\u00f3n de procesos industriales.<\/p>\n<div class=\"wp-caption aligncenter\"><a class=\"magnificImage\" href=\"https:\/\/securelist.lat\/files\/2017\/09\/170927-kl-ics-cert-esp-6.png\"><img class=\"size-full\" src=\"https:\/\/securelist.lat\/files\/2017\/09\/170927-kl-ics-cert-esp-6.png\" alt=\"\" \/><\/a><\/p>\n<p class=\"wp-caption-text\">\nPorcentaje de equipos de sistemas de control industrial atacados por diversas clases de malware, primer semestre de 2017<\/p>\n<\/div>\n<p>El malware perteneciente a las clases Backdoor, Trojan-Spy, y Trojan-PSW son tambi\u00e9n a menudo agentes de redes de bots administradas mediante servidores de administraci\u00f3n (C&amp;C) bajo el poder de delincuentes. No s\u00f3lo recogen y env\u00edan al delincuente informaci\u00f3n sobre el equipo infectado, sus usuarios y los sistemas presentes en la red, sino que tambi\u00e9n pueden utilizarse para lanzar ataques selectivos, ya que las funciones que tienen le dan al delincuente amplias posibilidades de control remoto.<\/p>\n<p>Los programas extorsionistas (Trojan-Ransom) cifran datos que son importantes para el usuario en el equipo infectado y bloquean el inicio o el funcionamiento del sistema operativo. Para restaurar su funcionamiento los hackers exigen el pago de un rescate. Pr\u00e1cticamente cualquier programa de este tipo puede paralizar completamente el control de los ingenieros y operadores de los sistemas de control industrial sobre el sistema de automatizaci\u00f3n, como lo hicieron patente los \u00faltimos ataques de troyanos maliciosos WannaCry y ExPetr (Petya), que levantaron tanto revuelo en los medios.<\/p>\n<p id=\"ataques-de-programas-cifradores\"><strong>Ataques de programas cifradores<\/strong><\/p>\n<p>Los malware cifradores se han convertido en una amenaza importante para las empresas, entre ellas las industriales.<\/p>\n<p>Para las empresas que tienen instalaciones de infraestructura cr\u00edtica, estos programas maliciosos son particularmente peligrosos porque al activarse pueden da\u00f1ar el proceso de producci\u00f3n.<\/p>\n<p>Los productos de Kaspersky Lab bloquearon regularmente ataques de programas cifradores en equipos de sistemas de control industrial en 63 pa\u00edses de todo el mundo. Seg\u00fan nuestros datos, el\u00a0<strong>0,5%<\/strong>\u00a0de los equipos de la infraestructura industrial de las organizaciones de todo el mundo fue atacado al menos una vez por programas cifradores durante el primer semestre de 2017.<\/p>\n<p>El siguiente mapa refleja el porcentaje de sistemas de automatizaci\u00f3n industrial atacados en cada pa\u00eds en relaci\u00f3n con el n\u00famero total de dichos sistemas en el pa\u00eds.<\/p>\n<div class=\"wp-caption aligncenter\"><a class=\"magnificImage\" href=\"https:\/\/securelist.lat\/files\/2017\/09\/170927-kl-ics-cert-esp-7.png\"><img class=\"size-full\" src=\"https:\/\/securelist.lat\/files\/2017\/09\/170927-kl-ics-cert-esp-7.png\" alt=\"\" \/><\/a><\/p>\n<p class=\"wp-caption-text\">\nGeograf\u00eda de los ataques lanzados por troyanos cifradores contra sistemas industriales (porcentaje de equipos de sistemas de control industrial atacados en el pa\u00eds)<\/p>\n<\/div>\n<p>En la Pen\u00ednsula Ib\u00e9rica los programas cifradores atacaron el\u00a0<strong>0,6%<\/strong>\u00a0de los equipos de sistemas de control industrial. La aplastante mayor\u00eda de los ataques tuvo lugar en Espa\u00f1a. En Latinoam\u00e9rica, los ataques de los programas cifradores fueron neutralizados en el 0,7% de los equipos de sistemas de control industrial. La mayor parte de sistemas de automatizaci\u00f3n industrial atacados se encontraban en Brasil, Espa\u00f1a, M\u00e9xico y Colombia:<\/p>\n<table>\n<tbody>\n<tr>\n<td><\/td>\n<td><strong>Pa\u00eds<\/strong><\/td>\n<td><strong>Porcentaje de sistemas atacados por ransomware en el pa\u00eds<\/strong><\/td>\n<\/tr>\n<tr>\n<td>1<\/td>\n<td>Brasil<\/td>\n<td>0,9<\/td>\n<\/tr>\n<tr>\n<td>2<\/td>\n<td>Espa\u00f1a<\/td>\n<td>0,6<\/td>\n<\/tr>\n<tr>\n<td>3<\/td>\n<td>M\u00e9xico<\/td>\n<td>0,5<\/td>\n<\/tr>\n<tr>\n<td>4<\/td>\n<td>Colombia<\/td>\n<td>0,4<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n<p>Se registraron incidentes aislados de ataques de programas cifradores en Portugal, Argentina, Chile, Ecuador, Costa Rica, Rep\u00fablica Dominicana, Panam\u00e1 y Paraguay.<\/p>\n<p>La mayor\u00eda de los programas cifradores se distribuyen por correo electr\u00f3nico, camufl\u00e1ndose como correspondencia de negocios con adjuntos que contienen cargadores maliciosos o enlaces de descarga de un programa cifrador.<\/p>\n<p>Los atacantes usaron programas cifradores de varias familias. En Am\u00e9rica Latina los programas cifradores m\u00e1s difundidos fueron Spora y Scatter; en Espa\u00f1a, Locky. (<a href=\"https:\/\/threatpost.com\/google-study-quantifies-ransomware-revenue\/127057\/\" target=\"_blank\" rel=\"noopener noreferrer\">Seg\u00fan las estimaciones de los expertos<\/a>\u00a0de Google y los cient\u00edficos del Instituto Polit\u00e9cnico de la Universidad de Nueva York (N.Y.U. Tandom School of Engineering), Locky es el m\u00e1s rentable de los programas cifradores, en los \u00faltimos dos a\u00f1os los beneficios de los delincuentes que lo usaban ascendieron a 7,8 Millones de d\u00f3lares.)<\/p>\n<p>WannaCry \u0438 ExPetr (Petya) se convirtieron en los programas cifradores m\u00e1s famosos de la primera mitad de 2017, habiendo mostrado una velocidad de propagaci\u00f3n y una efectividad de infecci\u00f3n sin precedentes para esta clase de malware. En gran medida esto se vio facilitado por el uso de los exploits creados por la Agencia de los Estados Unidos para la seguridad nacional (NSA), que fueron\u00a0<a href=\"https:\/\/medium.com\/@shadowbrokerss\/dont-forget-your-base-867d304a94b1\" target=\"_blank\" rel=\"noopener noreferrer\">puestos a la disposici\u00f3n del p\u00fablico por el grupo de hackers The Shadow Brokers<\/a>\u00a0en abril de 2017.<\/p>\n<p><strong>Cabe se\u00f1alar que los ataques de WannaCry fueron neutralizados por los productos de Kaspersky Lab en equipos de sistemas de control industrial en Espa\u00f1a y en Brasil. Lo mismo sucedi\u00f3 con los ataques de ExPetr en Espa\u00f1a y M\u00e9xico.<\/strong><\/p>\n<p>Seg\u00fan nuestros datos, por lo menos varias decenas de equipos que forman parte de los sistemas de control de los procesos tecnol\u00f3gicos de las empresas industriales sufrieron ataques del gusano cifrador WannaCry en todo el mundo. Los equipos que no estaban debidamente protegidos se infectaron y sus archivos resultaron cifrados. Esto puede haber provocado la paralizaci\u00f3n o mal funcionamiento de los sistemas de automatizaci\u00f3n de las empresas afectadas y la interrupci\u00f3n de sus ciclos de producci\u00f3n.<\/p>\n<p>Los sistemas industriales que se encuentran dentro del per\u00edmetro de una red industrial no suelen contar con una conexi\u00f3n a Internet, o est\u00e1 organizada mediante la red corporativa con el uso de NAT, cortafuegos o un servidor proxy, todos ellos llamados a excluir la posibilidad de que estos sistemas se infecten a trav\u00e9s de Internet. \u00bfC\u00f3mo entonces un gusano de red logr\u00f3 penetrar en la red tecnol\u00f3gica?<\/p>\n<p>Nuestra compa\u00f1\u00eda\u00a0<a href=\"https:\/\/ics-cert.kaspersky.com\/reports\/2017\/06\/22\/wannacry-on-industrial-networks\/\" target=\"_blank\" rel=\"noopener noreferrer\">hizo un an\u00e1lisis de todas las posibilidades de infecci\u00f3n<\/a>\u00a0y llegamos a la conclusi\u00f3n de que, en la mayor\u00eda de los casos, los sistemas de automatizaci\u00f3n industrial fueron atacados por WannaCry desde dentro de la red corporativa local de la empresa y mediante conexiones VPN. Las infecciones de WannaCry fueron causadas por errores t\u00edpicos en la configuraci\u00f3n de la red industrial.<\/p>\n<p>Para m\u00e1s informaci\u00f3n sobre la epidemia de Wannacry y los ataques de ExPetr, vea nuestro informe global del primer semestre de 2017.<\/p>\n<p id=\"fuentes-de-contaminacion-de-los-sistemas-de-automatizacion-industrial\"><strong>Fuentes de contaminaci\u00f3n de los sistemas de automatizaci\u00f3n industrial<\/strong><\/p>\n<div class=\"wp-caption aligncenter\"><a class=\"magnificImage\" href=\"https:\/\/securelist.lat\/files\/2017\/09\/170927-kl-ics-cert-esp-8.png\"><img class=\"size-full\" src=\"https:\/\/securelist.lat\/files\/2017\/09\/170927-kl-ics-cert-esp-8.png\" alt=\"\" \/><\/a><\/p>\n<p class=\"wp-caption-text\">\nPrincipales fuentes de amenazas bloqueadas en equipos de sistemas de control industrial (porcentaje de equipos de sistemas de automatizaci\u00f3n industrial atacados), primer semestre de 2017<\/p>\n<\/div>\n<p>En la Pen\u00ednsula Ib\u00e9rica, las descargas de malware desde Internet y el acceso a conocidos sitios web maliciosos y de phishing fueron bloqueados en el 22% de los equipos de sistemas de control industrial, y en Latinoam\u00e9rica, en el 24,1% en el primer semestre de 2017.<\/p>\n<p>Internet sigue siendo la principal fuente de infecci\u00f3n para los equipos que conforman la infraestructura tecnol\u00f3gica de las organizaciones. Esto es facilitado por la interconexi\u00f3n entre las redes corporativas e industriales, el acceso limitado a Internet desde la red industrial, la conexi\u00f3n a Internet de equipos desde la red industrial a trav\u00e9s de redes de operadores m\u00f3viles (mediante tel\u00e9fonos m\u00f3viles, m\u00f3dems USB o routers Wi-Fi que admiten 3G\/LTE). Los contratistas, desarrolladores, integradores, administradores de sistemas y redes que se conectan a la red industrial desde el exterior (directa o remotamente), a menudo tienen acceso irrestricto a Internet. Sus equipos est\u00e1n en el grupo de m\u00e1s alto riesgo y pueden convertirse en un conducto de penetraci\u00f3n de malware en las redes tecnol\u00f3gicas a las que prestan asistencia t\u00e9cnica. Cabe recordar que alrededor del 40 por ciento de los equipos de nuestra muestra se conectan regularmente a Internet.<\/p>\n<p>Al conectarse un medio extra\u00edble, se detect\u00f3 malware en el 5,3% de los equipos de sistemas de control industrial en la Pen\u00ednsula Ib\u00e9rica y en el 9,3% en Latinoam\u00e9rica. A menudo los programas maliciosos que se distribuyen a trav\u00e9s de medios extra\u00edbles y carpetas de red infectan archivos leg\u00edtimos o utilizan nombres similares a los nombres de archivo leg\u00edtimos (muchos virus y gusanos se comportan de esta manera). Los archivos maliciosos con nombres de archivo leg\u00edtimos pueden terminar en archivos de datos protegidos creados por el usuario (los encontramos en el 0,3% de los equipos en la Pen\u00ednsula Ib\u00e9rica y el 0,4% en Latinoam\u00e9rica) y en las copias de seguridad del sistema de archivos, cuando esta tarea la realiza el sistema operativo (0,5% y 0,6%).<\/p>\n<p>Los archivos maliciosos adjuntos al correo y los scripts maliciosos incrustados en el cuerpo de correos electr\u00f3nicos se bloquearon en el 3,6% de los equipos de sistemas de control industrial en la Pen\u00ednsula Ib\u00e9rica y el 3,8% en Latinoam\u00e9rica. En la mayor\u00eda de los casos, los hackers distribuyen mensajes con archivos adjuntos maliciosos en formato de documentos digitales, como MS Office y PDF.<\/p>\n<p>En el 0,2% de los equipos de sistemas de control industrial, se encontr\u00f3 malware en las copias locales de las carpetas que se sincronizan autom\u00e1ticamente con el almacenamiento en la nube cuando el equipo se conecta a Internet. La sincronizaci\u00f3n conduce a que al infectarse el almacenamiento en la nube (desde cualquier equipo que tenga acceso al mismo), los archivos maliciosos se propaguen autom\u00e1ticamente a todos los dispositivos conectados al almacenamiento.<\/p>\n<p>Cada pa\u00eds tiene indicadores diferentes:<\/p>\n<div class=\"wp-caption aligncenter\"><a class=\"magnificImage\" href=\"https:\/\/securelist.lat\/files\/2017\/09\/170927-kl-ics-cert-esp-9.png\"><img class=\"size-full\" src=\"https:\/\/securelist.lat\/files\/2017\/09\/170927-kl-ics-cert-esp-9.png\" alt=\"\" \/><\/a><\/p>\n<p class=\"wp-caption-text\">\nPrincipales fuentes de amenazas bloqueadas en equipos de sistemas de control industrial en diferentes pa\u00edses (porcentaje de equipos atacados), primer trimestre de 2017<\/p>\n<\/div>\n<p>Internet es la principal fuente de infecci\u00f3n en todos los pa\u00edses. En Portugal es la fuente de un tercio de los ataques de malware lanzados contra los equipos de sistemas de control industrial.<\/p>\n<p>El problema de la amenaza de contaminaci\u00f3n por medios extra\u00edbles es particularmente relevante en Venezuela (20,9% de equipos de sistemas de control industrial atacados) y en Argentina (16,3%). Y se bloquearon intentos de infecci\u00f3n en m\u00e1s del 10% de los equipos de sistemas de control industrial al conectar medios extra\u00edbles en M\u00e9xico (11,2%), Per\u00fa (11,1%) y Chile (10,3%).<\/p>\n<p id=\"plataformas-utilizadas-por-el-malware\"><strong>Plataformas utilizadas por el malware<\/strong><\/p>\n<p>En m\u00e1s de 50% de los equipos atacados se bloquearon programas maliciosos en forma de archivos ejecutables para el sistema operativo Windows (Win32\/Win64). Es com\u00fan que los hackers, en lugar de desarrollar un archivo ejecutable, implementen una funcionalidad maliciosa en un lenguaje de script que se ejecuta en int\u00e9rpretes que ya est\u00e1n instalados en el equipo de la presunta v\u00edctima.<\/p>\n<p>A continuaci\u00f3n se enumeran las principales plataformas utilizadas por el malware, aparte de Windows.<\/p>\n<div class=\"wp-caption aligncenter\"><a class=\"magnificImage\" href=\"https:\/\/securelist.lat\/files\/2017\/09\/170927-kl-ics-cert-esp-10.png\"><img class=\"size-full\" src=\"https:\/\/securelist.lat\/files\/2017\/09\/170927-kl-ics-cert-esp-10.png\" alt=\"\" \/><\/a><\/p>\n<p class=\"wp-caption-text\">\nPlataformas usadas por el malware (porcentaje del total de ataques de malware contra sistemas de automatizaci\u00f3n industrial), primer semestre de 2017<\/p>\n<\/div>\n<p>Los delincuentes utilizan peque\u00f1os cargadores escritos en JavaScript, VisualBasicScript y PowerShell, que se ejecutan como par\u00e1metros de l\u00ednea de comandos por los int\u00e9rpretes correspondientes.<\/p>\n<p id=\"nuestras-recomendaciones\"><strong>Nuestras recomendaciones<\/strong><\/p>\n<p>Para prevenir infecciones accidentales y protegerse contra ataques selectivos contra redes industriales, le recomendamos una serie de medidas de protecci\u00f3n de los per\u00edmetros externos e internos de la red industrial.<\/p>\n<p>En primer lugar, para garantizar la administraci\u00f3n remota segura de los sistemas de automatizaci\u00f3n y transferencia de datos entre las redes industriales y las de otro tipo, hay que imponer l\u00edmites muy estrictos al acceso entre sistemas ubicados en diferentes redes o con diferentes niveles de confianza:<\/p>\n<ul>\n<li>Los sistemas que tienen una conexi\u00f3n permanente o se conectan a intervalos regulares a redes externas (dispositivos m\u00f3viles, hubs VPN, servidores de terminal, etc.) deben aislarse en un segmento separado dentro de la red industrial, una zona desmilitarizada (DMZ);<\/li>\n<li>Los sistemas de la zona desmilitarizada se deben dividir en subredes o subredes virtuales (VLAN) y se debe limitar el acceso entre subredes (permitir s\u00f3lo los tipos de conexi\u00f3n necesarios);<\/li>\n<li>Todos los intercambios necesarios de informaci\u00f3n entre la red industrial y el mundo exterior se deben realizar a trav\u00e9s de la DMZ;<\/li>\n<li>Si es necesario, en la DMZ se pueden implementar servidores de terminales que permitan el uso de m\u00e9todos de conexi\u00f3n inversa (desde la red industrial a la DMZ).<\/li>\n<li>Para acceder a la red industrial desde el exterior, es preferible utilizar \u201cclientes livianos\u201d (thin clients), utilizando m\u00e9todos de conexi\u00f3n inversa;<\/li>\n<li>En cuanto sea posible, prohibir el acceso desde la zona desmilitarizada a la red industrial;<\/li>\n<li>Si los procesos de negocios de la empresa permiten la posibilidad de conexiones en una sola direcci\u00f3n, recomendamos considerar la posibilidad de utilizar redes unidirecionales (data diode).<\/li>\n<\/ul>\n<p>Debe tenerse en cuenta que el panorama de amenazas para sistemas de automatizaci\u00f3n industrial est\u00e1 en constante cambio, y que regularmente se encuentran nuevas vulnerabilidades en las aplicaciones y el software industrial.<\/p>\n<p>Para garantizar la protecci\u00f3n contra las amenazas desconocidas, incluidos los ataques selectivos, recomendamos:<\/p>\n<ol>\n<li>Hacer un inventario de los servicios de red en ejecuci\u00f3n. Si es posible, detener los servicios de red vulnerables (si hacerlo no afecta la continuidad de los procesos industriales) y de otros servicios que no son imprescindibles para el funcionamiento del sistema de automatizaci\u00f3n; prestar especial atenci\u00f3n a los servicios de acceso remoto a objetos del sistema de archivos, como SMB\/CIFS o NFS (esto es relevante en el caso de ataques que aprovechan las vulnerabilidades de Linux).<\/li>\n<li>Realizar una auditor\u00eda de la separaci\u00f3n de acceso a los componentes del sistema de control industrial; tratar de lograr la m\u00e1xima granularidad de las reglas de acceso.<\/li>\n<li>Realizar una auditor\u00eda de las actividades de red dentro de la red industrial de la empresa y en sus fronteras. Eliminar las conexiones de red con redes externas y otras redes inform\u00e1ticas mixtas que no sean necesarias para la producci\u00f3n.<\/li>\n<li>Verificar la seguridad de la organizaci\u00f3n del acceso remoto a la red industrial, prestar especial atenci\u00f3n a que la organizaci\u00f3n de las zonas desmilitarizadas sea coherente con los requisitos de seguridad inform\u00e1tica. Si es posible, reducir al m\u00ednimo o evitar el uso de herramientas de administraci\u00f3n remota (como RDP o TeamViewer).<\/li>\n<li>Mantener un registro de la vigencia de las bases de datos de signaturas, heur\u00edsticas y de los algoritmos clave de protecci\u00f3n de los nodos finales de la red. Asegurarse de que todos los principales componentes de protecci\u00f3n est\u00e9n activados y en funcionamiento, y que los cat\u00e1logos de los sistemas de automatizaci\u00f3n industrial no est\u00e9n fuera del \u00e1rea de protecci\u00f3n. En las empresas industriales las tecnolog\u00edas de control de inicio de aplicaciones configuradas en modo de \u201clistas blancas\u201d y las tecnolog\u00edas de an\u00e1lisis de comportamiento de aplicaciones han mostrado una gran efectividad. El control de inicio de aplicaciones impide que se ejecute un cifrador que haya logrado ingresar al equipo. Las tecnolog\u00edas de an\u00e1lisis del comportamiento de aplicaciones son \u00fatiles para detectar y prevenir vulnerabilidades (entre ellas las desconocidas) en el software leg\u00edtimo.<\/li>\n<li>Realizar una auditor\u00eda de las directivas y pr\u00e1cticas del uso de medios extra\u00edbles y dispositivos port\u00e1tiles. Impedir que se conecten a la red industrial dispositivos que proporcionen acceso no autorizado a redes externas e Internet.<br \/>\nSi es posible, deshabilitar los puertos correspondientes o controlar el acceso a ellos mediante medios especiales configurados correctamente.<\/li>\n<li>Implementar medios de supervisi\u00f3n del tr\u00e1fico de red y de detecci\u00f3n de ataques inform\u00e1ticos en redes industriales. En la mayor\u00eda de los casos, la aplicaci\u00f3n de tales medidas no requiere un cambio en la composici\u00f3n y configuraci\u00f3n de las herramientas de control industrial y se puede hacer sin detenerlos.<\/li>\n<\/ol>\n<p>Por supuesto, es casi imposible aislar completamente la red industrial de las redes mixtas, ya que la transmisi\u00f3n de datos entre redes es necesaria para realizar muchas funciones importantes: administraci\u00f3n y soporte de objetos remotos, coordinaci\u00f3n del funcionamiento de procesos industriales complejos, cuyos componentes est\u00e9n distribuidos entre muchos bloques, l\u00edneas, instalaciones y sistemas colaterales. Pero esperamos que nuestras recomendaciones contribuyan a proteger al m\u00e1ximo las redes industriales y los sistemas de automatizaci\u00f3n industrial de las amenazas actuales y futuras.<\/p>\n<p><strong>Fuente:<\/strong>\u00a0<em><a href=\"https:\/\/securelist.lat\/threat-landscape-for-industrial-automation-systems-in-h1-2017\/85531\/\" target=\"_blank\" rel=\"noopener noreferrer\">https:\/\/securelist.lat<\/a><\/em><\/p>\n","protected":false},"excerpt":{"rendered":"<p>El centro de respuesta a incidentes de seguridad inform\u00e1tica de Kaspersky Lab (Kaspersky Lab ICS CERT) publica los resultados de las investigaciones del panorama de&hellip; <\/p>\n","protected":false},"author":1,"featured_media":0,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":[],"categories":[23,29],"tags":[],"_links":{"self":[{"href":"https:\/\/www.fie.undef.edu.ar\/ceptm\/index.php?rest_route=\/wp\/v2\/posts\/2401"}],"collection":[{"href":"https:\/\/www.fie.undef.edu.ar\/ceptm\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.fie.undef.edu.ar\/ceptm\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.fie.undef.edu.ar\/ceptm\/index.php?rest_route=\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/www.fie.undef.edu.ar\/ceptm\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=2401"}],"version-history":[{"count":0,"href":"https:\/\/www.fie.undef.edu.ar\/ceptm\/index.php?rest_route=\/wp\/v2\/posts\/2401\/revisions"}],"wp:attachment":[{"href":"https:\/\/www.fie.undef.edu.ar\/ceptm\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=2401"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.fie.undef.edu.ar\/ceptm\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=2401"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.fie.undef.edu.ar\/ceptm\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=2401"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}