El 1 de septiembre de 2022, un conductor del servicio de movilidad Yander Taxi, similar a Uber o Cabify, que opera en Rusia, recibió una solicitud de viaje desde el centro de la ciudad de Moscú. Aceptó el servicio y se dirigió a recoger al usuario.
Parecía ser un día de trabajo normal. Sin embargo, lo que hizo excepcional a esa jornada fue que cientos de conductores de la misma aplicación recibieron y aceptaron la misma solicitud simultáneamente.
En cuestión de minutos, sus vehículos saturaron las calles, causando un inmenso embotellamiento en la capital rusa. Anonymous se atribuyó este ciberataque a Yande Taxi y admitió que lo realizó en colaboración con el Ejército de TI de Ucrania, formado al comienzo de la invasión rusa.
Aunque este ataque cibernético no provocó daños significativos, ni puso en peligro vidas humanas y no causó pérdidas económicas, destacó lo vulnerables que son tanto los entornos de tecnologías de la información (TI) como las infraestructuras críticas.
¿Y si el ataque hubiera sido dirigido a los taxis autónomos que en varias ciudades ya existen? Sería un ataque a OT y no de TI, sin embargo, el entorno de vulnerabilidad sería el mismo.
Es innegable los beneficios y la conveniencia que la transformación digital y la automatización brindan en diversas áreas de nuestras vidas y actividades productivas. Sin embargo, también debemos reconocer que existen escenarios de riesgo que pueden afectar los entornos tecnológicos aprovechando una mala gestión de vulnerabilidades.
Dos mundos distintos
El enfoque de la ciberseguridad y la gestión de incidentes en los entornos de TI y OT puede tener similitudes, pero también presenta diferencias significativas que merecen ser revisadas.
Una de estas diferencias radica en la manera en que se gestionan las vulnerabilidades. En el ámbito de TI, gran parte de la atención se centra en cómo se desarrollan, comunican y aplican los parches de seguridad necesarios para neutralizar y mitigar posibles ataques.
Desde hace varios años, las empresas de software emiten boletines de seguridad periódicos destinados a mitigar vulnerabilidades específicas o genéricas. Microsoft, por ejemplo, publica su boletín semanalmente. En caso de un ataque de día cero, se pueden emitir boletines extraordinarios para actuar con la mayor celeridad y evitar que una organización resulte afectada.
La naturaleza de TI implica que estas actividades sean amplias debido a la multitud de fabricantes, marcas, tecnologías y desarrollos, lo que se traduce en una gran cantidad de vulnerabilidades. Por esta razón, la gestión de vulnerabilidades se lleva a cabo de manera continua, con detección, priorización y aplicación de los parches de seguridad correspondientes al interior de las organizaciones cuyo cambio o mitigación puede ser hasta diario.
De esta forma, la adecuada gestión de vulnerabilidades minimiza en gran medida los riesgos e impactos que podrían surgir en el entorno tecnológico.
Cuestión de criticidad
Sin embargo, en el entorno de la tecnología operativa (OT) y las infraestructuras críticas, la gestión de la seguridad requiere procesos más meticulosos y tiempo… justo es el tiempo la principal diferencia.
En caso de identificar una vulnerabilidad crítica, la instalación de un parche de seguridad puede llevar días o incluso meses. Instalar parches a gran escala resulta bastante complicado y reiniciar sistemas clave exige una planificación minuciosa.
Un aspecto importantísimo en el entorno de OT es que remediar una vulnerabilidad puede requerir detener una línea de producción, lo que puede afectar la operación general de una organizaciónG. Si se aplica incorrectamente un parche, las consecuencias pueden ser extremas y afectar la rentabilidad de la empresa. En casos extremos, esta situación puede poner en peligro vidas humanas y la estabilidad política y económica de sociedades enteras.
Por lo tanto, es recomendable que, al detectar una vulnerabilidad, se realice una valoración del contexto en el que opera un sistema crítico en particular.
Por este motivo, contar con inventarios actualizados de los activos presentes en el entorno industrial, incluyendo sus versiones, fabricantes y la forma en que se relacionan con otros sistemas y equipos, es esencial. Posteriormente, es necesario llevar a cabo una evaluación de los riesgos y los posibles impactos que conlleva la corrección de una vulnerabilidad, tanto dentro como fuera de la organización.
Además, se debe definir una ventana de mantenimiento que incluya un análisis previo de la viabilidad de detener o reiniciar el equipo que pueda estar comprometido. En este contexto, puede surgir la disyuntiva de que, debido a la criticidad de un sistema de OT, no todas las vulnerabilidades puedan ser mitigadas. En tal caso, se debe asumir el riesgo y establecer estrategias de controles compensatorios para protegerse contra el riesgo latente.
Enfoques particulares
En conclusión, la mitigación de vulnerabilidades en un entorno de OT requiere una perspectiva diferente a la aplicada en TI debido a su criticidad e importancia aún cuando el fin es el mismo, minimizar la superficie de ataque.
Esto exige gran cautela, realizar una valoración precisa de la urgencia, así como de los riesgos y el impacto directo en las operaciones. La próxima vez, no solo podría causar caos en las calles de una ciudad, sino también paralizar una industria o incluso un país entero.