La creciente frecuencia y sofisticación de los ciberataques contra las redes de sistemasIndustrial (ICS) y de tecnología operativa (OT) suscitan gran preocupación en los sectores industriales de todo el mundo. Estos ataques han puesto de manifiesto las vulnerabilidades inherentes a las infraestructuras críticas, lo que ha provocado graves interrupciones operativas y pérdidas económicas. En este artículo se destacan algunos de los incidentes cibernéticos más destacados relacionados con los sistemas ICS/OT, se analizan sus vectores de ataque y se revelan correlaciones que pueden servir de base para mejorar las prácticas de ciberseguridad.
Ataque de Stuxnet
Descubierto en 2010, Stuxnet es uno de los ciberataques más conocidos y sofisticados dirigidos contra sistemas de control industrial (ICS). Se dirigió específicamente contra la central nuclear de Natanz, en Irán, aprovechando vulnerabilidades de día cero y propagándose a través de USB infectadas.
- USB maliciosos: El malware se introdujo en las instalaciones a través de USB infectadas. Una vez dentro, se propagó al software Siemens Step7, que se utiliza para programar sistemas de control industrial.
- Propagación: Stuxnet aprovechó múltiples vulnerabilidades de día cero y utilizó un rootkit para ocultar su presencia en los sistemas infectados. Se dirigió a los PLC (controladores lógicos programables) de Siemens con el fin de alterar la velocidad de las centrifugadoras, provocando su mal funcionamiento y su deterioro físico.

El ataque provocó una interrupción significativa de las capacidades de enriquecimiento nuclear de Irán, lo que retrasó su programa al causar daños en aproximadamente 1 000 centrifugadoras. Este incidente puso de manifiesto los riesgos asociados a los soportes físicos en entornos seguros.
Ataque a la red eléctrica de Ucrania
Los ataques a la red eléctrica de Ucrania en diciembre de 2015 y diciembre de 2016 son ejemplos destacados de ataques ciberfísicos. En estos incidentes participaron grupos de amenazas persistentes avanzadas (APT) que utilizaron métodos sofisticados para interrumpir el suministro eléctrico.
- Correos electrónicos de spear-phishing: Los atacantes enviaron correos electrónicos de spear-phishing a empleados de las empresas eléctricas ucranianas. Estos correos contenían archivos adjuntos maliciosos que, al abrirlos, instalaban el malware BlackEnergy en los sistemas afectados.
- Violación de la red informática: Una vez dentro de la red informática, los atacantes utilizaron credenciales robadas para acceder a los sistemas SCADA (Control de Supervisión y Adquisición de Datos), que controlan la red eléctrica.
- Interferencia manual: Los atacantes accionaron manualmente los interruptores, lo que provocó cortes de electricidad en varias regiones.

Los ataques provocaron cortes de electricidad que afectaron a cientos de miles de personas, lo que puso de manifiesto el devastador impacto de los ciberataques en las infraestructuras críticas.
Ataque TRITON
El malware TRITON, también conocido como TRISIS, atacó los sistemas de seguridad instrumentados (SIS) de una planta petroquímica en Arabia Saudí en 2017. Este malware fue diseñado para manipular los controladores de los SIS, que son fundamentales para el funcionamiento seguro de los procesos industriales.
- Estación de trabajo de ingeniería comprometida: los atacantes obtuvieron acceso a una estación de trabajo de ingeniería conectada al SIS a través de una VPN.
- Instalación de malware: El malware se instaló en los controladores SIS de Triconex con el objetivo de reprogramarlos para provocar el cierre de la planta o causar daños físicos.

Ataque de ransomware contra Colonial Pipeline
En mayo de 2021, Colonial Pipeline, uno de los principales oleoductos de combustible de Estados Unidos, sufrió un ataque de ransomware atribuido al grupo DarkSide. Este ataque provocó interrupciones en el suministro de combustible en toda la costa este de Estados Unidos.
- Cuenta de VPN comprometida: Los atacantes accedieron a la red a través de una cuenta de VPN comprometida que ya no se utilizaba, pero que seguía activa.
- Implantación del ransomware: Una vez dentro, el ransomware cifró los datos de la red, lo que provocó la interrupción de las operaciones de la tubería.

El ataque provocó el cierre temporal del oleoducto, lo que causó una escasez generalizada de combustible y puso de manifiesto las vulnerabilidades de las infraestructuras críticas.
Ataque a una acería alemana
En 2014, una acería alemana sufrió daños importantes a causa de un ciberataque que afectó a sus sistemas de control. Los atacantes utilizaron correos electrónicos de spear-phishing para acceder a la red de oficinas de la planta y, a continuación, se infiltraron en la red de producción.
- Correos electrónicos de spear-phishing: Los atacantes enviaron correos electrónicos de spear-phishing a los empleados, lo que provocó la instalación de malware en la red de la oficina.
- Violación de la red informática: Los atacantes se desplazaron lateralmente desde la red de la oficina hasta la red de producción.
- Manipulación de los sistemas de control: Una vez dentro de la red de producción, los atacantes accedieron a los sistemas de control y causaron daños graves en un alto horno.

El ataque causó importantes daños materiales en la acería, lo que puso de manifiesto el potencial devastador de los ciberataques contra los sistemas de control industrial y la necesidad imperiosa de adoptar medidas sólidas de ciberseguridad.
Resumen de los vectores de ataque:
Conclusiones clave e implicaciones para Industrial
Los vectores de ataque comunes a estos incidentes destacados suelen estar relacionados con el error humano, como caer en la trampa de los correos electrónicos de phishing o dejar sin proteger las herramientas de acceso remoto. Los soportes físicos, como USB infectadas y las cuentas de VPN comprometidas, también desempeñan un papel importante en estas brechas de seguridad. Estos puntos de entrada ponen de relieve la importancia fundamental de implementar una plataforma integral de ciberseguridad que proteja contra una amplia gama de amenazas. Además, el papel de los factores humanos en estos ataques subraya la necesidad de una formación y capacitación continuas para que los empleados reconozcan y respondan a las posibles amenazas cibernéticas de manera eficaz. Al combinar soluciones tecnológicas avanzadas con sólidos programas de desarrollo del personal, las organizaciones pueden mejorar su resiliencia frente al panorama cambiante de las amenazas cibernéticas dirigidas a entornos ICS/OT.

Irfan Shakeel es un referente en ciberseguridad, empresario y formador. Actualmente ocupa el cargo de vicepresidente de Servicios de Formación y Certificación en OPSWAT. Irfan ha ayudado a una comunidad de más de 150 000 alumnos a iniciarse en la ciberseguridad y, anteriormente, fundó una plataforma de formación pionera llamada eHacking.




