Catástrofes ecológicas y caos urbano: qué pueden provocar los ataques a sistemas industriales desprotegidos
El NCSC ha publicado una guía para proteger las tecnologías operativas frente a ciberataques.
Hasta hace poco, el principal objetivo de las redes industriales era mantener el equipo en funcionamiento. Pero hoy las líneas de producción, la energía, los servicios de agua y el transporte conectan cada vez más análisis en tiempo real, mantenimiento remoto e integraciones con contratistas. Esto es conveniente y ahorra dinero. Pero ese botón cómodo tiene un reverso. Cuantas más conexiones con el mundo exterior, mayor la superficie de ataque, y un incidente en OT puede acabar no solo en una fuga de datos, sino también en daños físicos, consecuencias medioambientales o la interrupción de servicios vitales.
En este contexto, el NCSC británico, junto con socios de varios países, publicó recomendaciones sobre cómo diseñar y proteger la conectividad en tecnología operativa. El documento afirma claramente que las conexiones OT inseguras y expuestas atraen tanto a atacantes oportunistas como a actores muy sofisticados, incluidas organizaciones que cazan deliberadamente infraestructura crítica. Los autores también destacan una ola de ataques «oportunistas», cuando los sistemas poco protegidos entran en el foco y solo es cuestión de tiempo quién llega primero.
El informe se basa en ocho principios, que se podrían resumir como «menos magia, más disciplina». El primer paso es no llevar a OT cualquier canal de comunicación «porque hace falta», sino formalizar un caso de negocio claro en el que quede por adelantado para qué sirve la conexión, qué beneficios aporta, qué riesgos son aceptables, quién asume la responsabilidad y si no surgirán dependencias peligrosas de servicios externos que luego dificulten aislarse durante un incidente.
Una de las principales dolencias de OT, según los autores, son los productos obsoletos. Su ciclo de vida es largo, las actualizaciones se retrasan con frecuencia y a veces la propia organización los deprecia cuando no aplica parches debido a restricciones de producción. El problema no es solo que los dispositivos antiguos no reciben correcciones de vulnerabilidades, sino que a menudo carecen de mecanismos modernos de autenticación y criptografía, y las medidas compensatorias requieren competencias poco comunes y complican la respuesta. El informe propone tratar ese equipo como no confiable y no basar la protección en él, sino mitigar temporalmente los riesgos con segmentación y controles perimetrales, mientras se planifica su sustitución.
El bloque más práctico de recomendaciones trata de cómo conectar OT a sistemas externos y a contratistas. Los autores insisten en que, siempre que sea posible, las conexiones deben iniciarse desde dentro de OT como salientes, para no dejar «puertas de entrada» en el perímetro. Si un participante externo necesita acceso, es preferible usar una conexión «empujada» a través de un nodo intermedio en un segmento separado y protegido, por ejemplo una DMZ, donde se pueda controlar, restringir y monitorizar el acceso sin exponer los activos OT. Para dispositivos obsoletos que aún no se pueden eliminar, se proponen medidas provisionales como pasarelas de protocolo o un jump host endurecido para el soporte del proveedor, además de restricciones estrictas de privilegios y registros de eventos obligatorios.
Se subraya por separado la idea que suele romper el enfoque habitual de «déjalo siempre encendido»: no todas las conexiones deben ser permanentes. El modelo just-in-time, en el que el acceso se abre solo durante las tareas y se cierra inmediatamente después, reduce notablemente la «ventana de oportunidades» para el atacante.
Para evitar que el entorno OT se convierta en un enredo de VPN dispersas y excepciones «un túnel por cada proveedor», el documento aconseja centralizar y estandarizar las conexiones. Un esquema repetible con reglas uniformes es más sencillo de mantener, actualizar y controlar. El siguiente paso lógico es abandonar los protocolos inseguros donde sea posible y, por defecto, optar por variantes protegidas modernas, incluyendo la migración a versiones más recientes de los protocolos industriales, y en la intersección OT-IT usar protocolos estándar protegidos sobre TLS. Donde «como antes» sea realmente imprescindible, el informe exige al menos una justificación formal y medidas compensatorias.
La quinta y sexta partes vienen a decir que el perímetro OT debe ser robusto, y que una intrusión no debe provocar un efecto dominó por toda la red. Los autores recomiendan apoyarse en segmentación, el principio de menor privilegio, la autenticación multifactor para servicios externos, eliminar las contraseñas por defecto y minimizar los servicios expuestos. Para aumentar la resistencia al movimiento lateral se proponen medidas más finas como la microsegmentación, donde se permite que los dispositivos se comuniquen solo con los nodos y servicios que realmente necesitan por su función.
Incluso con todo esto implementado queda una última capa en la que suele «ahorrarse tiempo» hasta que es demasiado tarde. Aquí entra en juego la observación. El documento subraya que el objetivo del registro y del monitoreo no es recopilar logs por cumplir, sino entender cómo los atacantes explotan los puntos débiles y elaborar de antemano reglas de detección, incluyendo control de anomalías y señales especialmente estrictas para cuentas de emergencia «break-glass».
Y por último, los autores proponen prepararse para un escenario que a muchos les parece demasiado radical: la aislación. Si la amenaza aumenta de forma abrupta o se confirma una compromisión, la organización debe ser capaz de desconectar las conexiones externas de modo que los procesos clave sigan funcionando y el impacto en el negocio sea previsible. Se propone probar el plan de aislamiento con regularidad y vincularlo por adelantado con los acuerdos con contratistas, porque en el momento del incidente suele descubrirse de repente que «ya no podemos hacerlo de forma remota» y no está prevista la intervención física.
Lo principal que se percibe entre líneas es que los autores no intentan vender una «caja mágica». Proponen ordenar el propio concepto de «conexión» en OT, hacerlo consciente, gestionable y reversible. Y si se traduce a lenguaje llano, la recomendación es simple: conecte la industria al mundo exterior solo cuando realmente sea necesario, hágalo a través de «pasarelas» protegidas, deje al mínimo las posibilidades abiertas y mantenga siempre el botón de «desconectar» funcionando.