Envío de registros, alertas y datos de telemetría a través de un diodo de datos

Descubre cómo
Utilizamos inteligencia artificial para traducir el sitio web y, aunque nos esforzamos por garantizar la precisión, es posible que las traducciones no sean siempre 100 % exactas. Agradecemos tu comprensión.

Detrás de la brecha: análisis de ciberataques críticos contra sistemas ICS/OT 

Un análisis en profundidad de los mecanismos de Industrial y las estrategias de prevención 
Por Irfan Shakeel, vicepresidente de la Academia
Última actualización:
Comparte esta publicación

La creciente frecuencia y sofisticación de los ciberataques contra las redes de sistemasIndustrial (ICS) y de tecnología operativa (OT) suscitan gran preocupación en los sectores industriales de todo el mundo. Estos ataques han puesto de manifiesto las vulnerabilidades inherentes a las infraestructuras críticas, lo que ha provocado graves interrupciones operativas y pérdidas económicas. En este artículo se destacan algunos de los incidentes cibernéticos más destacados relacionados con los sistemas ICS/OT, se analizan sus vectores de ataque y se revelan correlaciones que pueden servir de base para mejorar las prácticas de ciberseguridad. 

Ataque de Stuxnet

Descubierto en 2010, Stuxnet es uno de los ciberataques más conocidos y sofisticados dirigidos contra sistemas de control industrial (ICS). Se dirigió específicamente contra la central nuclear de Natanz, en Irán, aprovechando vulnerabilidades de día cero y propagándose a través de USB infectadas. 

Vector de ataque:
  • USB maliciosos: El malware se introdujo en las instalaciones a través de USB infectadas. Una vez dentro, se propagó al software Siemens Step7, que se utiliza para programar sistemas de control industrial. 
  • Propagación: Stuxnet aprovechó múltiples vulnerabilidades de día cero y utilizó un rootkit para ocultar su presencia en los sistemas infectados. Se dirigió a los PLC (controladores lógicos programables) de Siemens con el fin de alterar la velocidad de las centrifugadoras, provocando su mal funcionamiento y su deterioro físico. 
Diagrama secuencial que ilustra el ataque de Stuxnet, desde la infección de USB hasta la interrupción del funcionamiento de las centrifugadoras
Resultado: 

El ataque provocó una interrupción significativa de las capacidades de enriquecimiento nuclear de Irán, lo que retrasó su programa al causar daños en aproximadamente 1 000 centrifugadoras. Este incidente puso de manifiesto los riesgos asociados a los soportes físicos en entornos seguros. 

Ataque a la red eléctrica de Ucrania

Los ataques a la red eléctrica de Ucrania en diciembre de 2015 y diciembre de 2016 son ejemplos destacados de ataques ciberfísicos. En estos incidentes participaron grupos de amenazas persistentes avanzadas (APT) que utilizaron métodos sofisticados para interrumpir el suministro eléctrico. 

Vector de ataque:
  • Correos electrónicos de spear-phishing: Los atacantes enviaron correos electrónicos de spear-phishing a empleados de las empresas eléctricas ucranianas. Estos correos contenían archivos adjuntos maliciosos que, al abrirlos, instalaban el malware BlackEnergy en los sistemas afectados. 
  • Violación de la red informática: Una vez dentro de la red informática, los atacantes utilizaron credenciales robadas para acceder a los sistemas SCADA (Control de Supervisión y Adquisición de Datos), que controlan la red eléctrica. 
  • Interferencia manual: Los atacantes accionaron manualmente los interruptores, lo que provocó cortes de electricidad en varias regiones. 
Diagrama de flujo que muestra un ataque de spear-phishing que conduce a la manipulación de la red eléctrica mediante el acceso al sistema SCADA
Resultado: 

Los ataques provocaron cortes de electricidad que afectaron a cientos de miles de personas, lo que puso de manifiesto el devastador impacto de los ciberataques en las infraestructuras críticas. 

Ataque TRITON 

El malware TRITON, también conocido como TRISIS, atacó los sistemas de seguridad instrumentados (SIS) de una planta petroquímica en Arabia Saudí en 2017. Este malware fue diseñado para manipular los controladores de los SIS, que son fundamentales para el funcionamiento seguro de los procesos industriales.

Vector de ataque:
  • Estación de trabajo de ingeniería comprometida: los atacantes obtuvieron acceso a una estación de trabajo de ingeniería conectada al SIS a través de una VPN. 
  • Instalación de malware: El malware se instaló en los controladores SIS de Triconex con el objetivo de reprogramarlos para provocar el cierre de la planta o causar daños físicos. 
Diagrama que detalla el proceso de un ataque del malware TRITON dirigido a los sistemas instrumentados de seguridad (SIS)
Resultado: 
Aunque el ataque se detectó y se neutralizó antes de que causara daños graves, puso de manifiesto el riesgo de que los ciberataques provoquen daños físicos y pongan en peligro vidas humanas.

Ataque de ransomware contra Colonial Pipeline

En mayo de 2021, Colonial Pipeline, uno de los principales oleoductos de combustible de Estados Unidos, sufrió un ataque de ransomware atribuido al grupo DarkSide. Este ataque provocó interrupciones en el suministro de combustible en toda la costa este de Estados Unidos. 

Vector de ataque:
  • Cuenta de VPN comprometida: Los atacantes accedieron a la red a través de una cuenta de VPN comprometida que ya no se utilizaba, pero que seguía activa. 
  • Implantación del ransomware: Una vez dentro, el ransomware cifró los datos de la red, lo que provocó la interrupción de las operaciones de la tubería. 
Ilustración de la secuencia de una brecha de ciberseguridad, desde el compromiso de una cuenta VPN hasta la paralización de las operaciones para impedir la propagación del ransomware
Resultado: 

El ataque provocó el cierre temporal del oleoducto, lo que causó una escasez generalizada de combustible y puso de manifiesto las vulnerabilidades de las infraestructuras críticas. 

Ataque a una acería alemana

En 2014, una acería alemana sufrió daños importantes a causa de un ciberataque que afectó a sus sistemas de control. Los atacantes utilizaron correos electrónicos de spear-phishing para acceder a la red de oficinas de la planta y, a continuación, se infiltraron en la red de producción. 

Vector de ataque:
  • Correos electrónicos de spear-phishing: Los atacantes enviaron correos electrónicos de spear-phishing a los empleados, lo que provocó la instalación de malware en la red de la oficina. 
  • Violación de la red informática: Los atacantes se desplazaron lateralmente desde la red de la oficina hasta la red de producción. 
  • Manipulación de los sistemas de control: Una vez dentro de la red de producción, los atacantes accedieron a los sistemas de control y causaron daños graves en un alto horno. 
Diagrama de flujo que describe el proceso de un ciberataque, desde un correo electrónico de spear-phishing hasta los daños físicos causados por la manipulación de los sistemas de control
Resultado: 

El ataque causó importantes daños materiales en la acería, lo que puso de manifiesto el potencial devastador de los ciberataques contra los sistemas de control industrial y la necesidad imperiosa de adoptar medidas sólidas de ciberseguridad. 

Resumen de los vectores de ataque:

USB maliciosos:

Stuxnet demostró cómo los soportes físicos podían introducir malware en entornos seguros.

Correos electrónicos de spear-phishing:

Los ataques a la red eléctrica de Ucrania pusieron de manifiesto la eficacia del phishing a la hora de comprometer las redes informáticas.

Estaciones de trabajo de ingeniería comprometidas:

TRITON puso de relieve los riesgos asociados a las estaciones de trabajo vulnerables conectadas a sistemas de seguridad críticos. 

Cuentas de VPN comprometidas:

El ataque a Colonial Pipeline puso de manifiesto los peligros que entraña el acceso remoto no protegido. 

Correos electrónicos de spear-phishing:

El ataque a la acería alemana puso de manifiesto las graves consecuencias del phishing y los movimientos laterales dentro de las redes.

Conclusiones clave e implicaciones para Industrial 

Los vectores de ataque comunes a estos incidentes destacados suelen estar relacionados con el error humano, como caer en la trampa de los correos electrónicos de phishing o dejar sin proteger las herramientas de acceso remoto. Los soportes físicos, como USB infectadas y las cuentas de VPN comprometidas, también desempeñan un papel importante en estas brechas de seguridad. Estos puntos de entrada ponen de relieve la importancia fundamental de implementar una plataforma integral de ciberseguridad que proteja contra una amplia gama de amenazas. Además, el papel de los factores humanos en estos ataques subraya la necesidad de una formación y capacitación continuas para que los empleados reconozcan y respondan a las posibles amenazas cibernéticas de manera eficaz. Al combinar soluciones tecnológicas avanzadas con sólidos programas de desarrollo del personal, las organizaciones pueden mejorar su resiliencia frente al panorama cambiante de las amenazas cibernéticas dirigidas a entornos ICS/OT. 


Irfan Shakeel, vicepresidente de Servicios de Formación y Certificación de OPSWAT

Irfan Shakeel es un referente en ciberseguridad, empresario y formador. Actualmente ocupa el cargo de vicepresidente de Servicios de Formación y Certificación en OPSWAT. Irfan ha ayudado a una comunidad de más de 150 000 alumnos a iniciarse en la ciberseguridad y, anteriormente, fundó una plataforma de formación pionera llamada eHacking.

Irfan Shakeel
Vicepresidente de Servicios de Formación y Certificación

¡Mantente al día con OPSWAT!

Regístrate hoy mismo para recibir las últimas novedades de la empresa, historias, información sobre eventos y mucho más.