Los diodos de datos, que antes eran una tecnología de nicho utilizada en el ámbito militar y de la seguridad nuclear, se han convertido en un componente esencial de la ciberseguridad industrial y empresarial. Dado que las pérdidas derivadas de incidentes cibernéticos se han cuadruplicado desde 2017 hasta alcanzar casi 2000 millones de dólares, se ha producido una creciente adopción de los diodos de datos como norma de seguridad, ya sea como requisito o como recomendación en los marcos normativos. Su creciente importancia se debe a que las soluciones de seguridad basadas en software, como los cortafuegos, ya no pueden garantizar la seguridad.
La creciente necesidad de diodos de datos
Dado que los diodos de datos imponen un tráfico unidireccional a nivel de hardware, a menudo mediante fibra óptica, bloquean físicamente la ruta de comunicación inversa que el ransomware y las APT (amenazas persistentes avanzadas) necesitan para funcionar. Si bien los cortafuegos siguen siendo el estándar para la mayoría de las aplicaciones empresariales, las normativas globales para sectores de infraestructuras críticas de alto riesgo, como el nuclear, el energético y el del agua, recomiendan o exigen ahora explícitamente el uso de diodos de datos para garantizar el aislamiento físico entre las redes de tecnología operativa (OT) y de tecnología de la información (IT).
El perfil de seguridad de Data Diode ofrece tres ventajas clave en materia de seguridad que van más allá de las capacidades de los cortafuegos:
Las amenazas transmitidas a través de la red no pueden eludir la seguridad unidireccional que impone el hardware de un diodo, a diferencia de los cortafuegos, que pueden eludirse mediante una configuración incorrecta o vulnerabilidades de día cero
Sin canales ocultos, lo que impide que los atacantes envíen comandos a los sistemas comprometidos
Interrupción de protocolo que permite a los diodos de datos transferir datos mediante un protocolo no enrutable
Diferencias clave entre los diodos de datos y los cortafuegos
| Característica | Firewall | Pasarela unidireccional (diodo de datos) |
|---|---|---|
| Mecanismo | Software(lógico) | Hardware(físico) |
| Dirección | Bidireccional (filtrado) | Estrictamente de un solo sentido |
| Vulnerabilidad | Vulnerable a errores de configuración y a vulnerabilidades de día cero | Inmune a los ataques remotos basados en software |
| Caso de uso | Seguridad informática general | Protección de alta seguridad para sistemas operativos y sistemas de control industrial |
Normativas y directrices internacionales
Debido al perfil de seguridad de los diodos de datos, que no permite eludir las restricciones, los organismos reguladores internacionales recomiendan y, en algunos casos, exigen su uso para segmentar las redes de infraestructuras críticas.
Varias normas, como NRC, NERC CIP (energía), IEC 62443 (industrial) y las directivas de la TSA (ferrocarril/oleoductos), exigen o recomiendan encarecidamente el flujo unidireccional implementado por hardware para las infraestructuras críticas. Sin embargo, hay muchos ejemplos de diodos que se utilizan en sectores en los que actualmente no se exige su uso, como por ejemplo:
- Las entidades de servicios financieros, especialmente los bancos, las utilizan actualmente para proteger redes de transacciones de alto valor y para la presentación de informes reglamentarios, con el fin de garantizar que los datos confidenciales salgan del banco sin dejar ninguna vía de acceso a los piratas informáticos. También se utilizan para proteger archivos y centros de recuperación ante desastres.
- Los centros médicos y farmacéuticos utilizan diodos de datos para proteger la propiedad intelectual y para aislar las redes de tecnología clínica —como los monitores de pacientes y los equipos de diagnóstico por imagen— de las redes informáticas corporativas.
- Las organizaciones del sector marítimo utilizan diodos de datos para aislar y supervisar los datos procedentes de las salas de máquinas y los sistemas de control de gobierno, así como para proteger las transferencias de datos entre el buque y tierra.
Marcos normativos que exigen o recomiendan el uso de diodos de datos
A continuación se ofrece un resumen de las principales normativas y directrices internacionales que especifican o recomiendan encarecidamente el uso de pasarelas unidireccionales.
Normas internacionales
IEC 62443
La parte 3-3 (SR 5.2) se centra en la «disponibilidad de recursos» y recomienda el uso de puertas de enlace unidireccionales en zonas de alta seguridad (niveles 3 y 4) para evitar la propagación de malware y garantizar la integridad de los datos.
ISO 27019
En lo que respecta específicamente al sector energético, sus directrices destacan la necesidad de una segmentación segura de la red y señalan los diodos de datos como una «buena práctica» para separar los sistemas de control de procesos de las redes externas.
En América del Norte
CIP de la NERC
Las normas de la NERC (North American Electric Reliability Corporation) relativas a la protección de la red eléctrica se encuentran entre las más estrictas. Si bien las normas CIP-002 a CIP-013 permiten el uso de cortafuegos, el uso de una pasarela unidireccional puede «eximir» a una empresa de servicios públicos de varios requisitos de cumplimiento (como 21 de las 26 normas en algunos contextos de la NRC), ya que la pasarela impide físicamente el acceso electrónico entrante, reduciendo de manera efectiva el riesgo del «perímetro de seguridad electrónica» (ESP).
NIST SP 800-82 (Revisión 3)
La guía del Instituto Nacional de Estándares y Tecnología (NIST) sobre la seguridad de los sistemas Industrial menciona explícitamente las pasarelas unidireccionales como una medida defensiva fundamental. Recomienda su uso para enviar datos desde una zona OT de alta seguridad a una zona IT de menor seguridad —por ejemplo, para enviar datos de sensores a una base de datos en la nube— sin permitir que un atacante pueda establecer una ruta de retorno.
NRC RG 5.71
Este marco de la NRC (Comisión Reguladora Nuclear) exige un alto nivel de aislamiento para los sistemas digitales de las centrales nucleares. En él se establece que el flujo de datos unidireccional es el método preferido para supervisar los sistemas de seguridad nuclear desde redes externas.
En Europa
ANSSI (Francia) - PSSI-IV
La Agencia Nacional de Seguridad de los Sistemas de Información de Francia (ANSSI) es líder mundial en la aplicación del uso de diodos de datos. En el caso de los OIV (operadores de importancia vital), la ANSSI suele exigir el uso de diodos de datos certificados, con certificación CSPN, para cualquier conexión entre las redes industriales más críticas de «Clase 3» e Internet, o las redes menos seguras de «Clase 1».
Directiva NIS2 (a escala de la UE)
Aunque la Directiva NIS2 (sobre seguridad de las redes y la información) no exige un hardware específico, sí obliga a las «entidades» a aplicar medidas de gestión de riesgos «de última generación». En sectores como el energético y el del agua, los organismos reguladores nacionales, como la BSI en Alemania y el CCN en España, traducen la Directiva NIS2 en requisitos técnicos que dan prioridad a la segmentación implementada por hardware frente a los cortafuegos basados en software.
En Asia y Oriente Medio
Arabia Saudí (NCA)
La Autoridad Nacional de Ciberseguridad de Arabia Saudí ha publicado unas «normas específicas sobre diodos de datos» para sectores críticos, en las que se detalla cómo deben utilizarse para proteger los activos petroleros, gasísticos y de servicios públicos del Reino.
Corea del Sur (KISA)
Al igual que en Singapur, las directrices de Corea del Sur en materia de redes inteligentes y seguridad nuclear hacen especial hincapié en el uso de pasarelas unidireccionales para la extracción de datos, con el fin de impedir el movimiento lateral desde la red pública de Internet.
Diodos de datos líderes en el sector yOT Security unificadasOT Security
Las soluciones MetaDefender ofrecen una transferencia de datos unidireccional garantizada por hardware entre las redes de TI y de tecnología operativa, lo que permite una replicación segura de los datos y una visibilidad operativa sin comprometer el aislamiento de la red.
Para obtener más información sobre cómo OPSWAT puede ayudarle aOPSWAT facilitar el cumplimiento de los marcos normativos regionales y mundiales, póngase en contacto con un experto hoy mismo.
