Es de sobra conocido por todos que cualquier elemento que contenga un software es vulnerable, independientemente de si está conectado a una red o no. Pero si está conectado, el riesgo aumenta debido a que las vulnerabilidades crecen exponencialmente. Por ejemplo, uno de los ciberataques más grandes de la historia fue Mirai, cuyo objetivo era infectar dispositivos IoT (routers, videograbadores, CCTV…) con malware para realizar ataques de denegación de servicio, dejando en un estado no operativo sistemas sustentados por Windows y Linux principalmente. Mirai infectaba mediante el uso de credenciales por defecto que el malware incluye, ya que muchas de ellas son usadas en dispositivos IoT, donde la seguridad en muchos casos es deficiente.
Recientemente, una empresa financiera sufrió un ataque de denegación de servicio ejecutando 17,2 millones de solicitudes por segundo. Para llevar a cabo este ataque se estima que han participado 28.000 dispositivos infectados, repartidos en 125 países diferentes. Durante el tiempo que duró el ataque se enviaron cerca de 330 millones de solicitudes ‘http’. Los números son escandalosos y se cree que detrás de este incidente se encuentra Mirai o una variante del mismo.
Además de poder llegar a ser parte de una red botnet, el problema real es cuando un cibercriminal se pone en contacto con un delincuente, por separar el mundo lógico del físico, ya que ambos son delincuentes. Imaginemos el siguiente escenario: un cibercriminal realiza un ataque man in the middle, donde escucha la comunicación que realiza un panel de alarma con una central receptora de alarmas (CRA), lo copia y simula un estado de normalidad. Una vez que tiene el protocolo de comunicación entre el panel y la CRA puede proceder a la desconexión del sistema de seguridad y que el delincuente (físico) campe a sus anchas por la «casa» del cliente, sustrayendo bienes materiales.
Además de poder ser parte de una red ‘botnet’’ el problema real es cuando un cibercriminal se pone en contacto con un delincuente
Actuación
Ante el panorama que nos encontramos solo podemos hacer una cosa, y es actuar. Desde la Asociación Española de Empresas de Seguridad (AES) llevamos trabajando más de tres años en la concienciación mediante la difusión de un baseline o decálogo la ciberseguridad de los sistemas electrónicos de seguridad, principalmente en cuatro áreas:
- Ciberseguridad centrada en las personas: Roles, asignación de responsabilidades, segregación de funciones, acuerdos de confidencialidad, control de proveedores y, sobre todo, sensibilización del personal se deben convertir en la primera barrera de defensa y no en el eslabón más débil.
- Instalaciones: Accesos físicos, control de suministros… Infraestructura IT: redes, comunicaciones y aplicaciones.
- Información: Clasificación, controles de acceso a la información, cifrado, copias, planes de recuperación de la información debidamente probados, etc.
El baseline de seguridad se dirige a toda la cadena de suministro, fabricantes, integradores, operadores y mantenedores. Debemos basar nuestro modelo desde un punto de vista de confianza cero, siendo capaces de detectar y responder en el menor tiempo posible.
Los fabricantes deben pensar en términos de seguridad antes de ver la viabilidad del proyecto. No en vano, la seguridad tiene que ser por defecto y desde el diseño. Además, han de proveer a los integradores, operadores y mantenedores de las vulnerabilidades detectadas a través de sus canales de distribución (mayoristas) generando feeds recolectados por los distintos canales de inteligencia; por ejemplo, los fabricantes de antimalware con los que deberán cerrar acuerdos comerciales o de colaboración.
Por la parte de integradores y mantenedores, estos deben formar/concienciar (aunque me gusta más el término ‘sensibilizar’) a sus equipos en gestionar los sistemas de seguridad electrónicos desde un punto de vista de la ciberseguridad. Lo primero es el cambio de contraseñas, que normalmente suelen venir como «admin1234». En los mantenimientos que se realizan se ha de actualizar el software de todos los elementos para corregir las vulnerabilidades que van apareciendo y tener sistemas más robustos frente a los posibles ataques. No basta con formar/sensibilizar y con establecer mecanismos de actualización; estos deben ser comprobados por las empresas de integración y mantenimiento en base a que los controles o contramedidas que se establecen cumplen con su objetivo, como por ejemplo con una auditoría aleatoria o una muestra representativa de sus instalaciones.
No pedimos pasar de cero a cien, pero hay que montar mecanismos de control para comprobar la robustez de los sistemas instalados, como puede ser un escaneo de vulnerabilidades en automático.
Modelo ciberseguro
Las centrales receptoras de alarmas (CRA, COV y SOC) cobran mucho protagonismo a la hora de implementar un modelo ciberseguro en los sistemas que monitorean, de tal manera que tendrán que habilitar comunicaciones seguras, al menos una VPN o una MPLS, si el cliente así lo requiere. Pero también hay que establecer mecanismos de parcheado en remoto de los sistemas gestionados para garantizar la confidencialidad, disponibilidad e integridad de los sistemas que supervisan.
Todos deben cumplir con la normativa vigente (Reglamento General de Protección de Datos y Ley Orgánica de Protección de Datos), aunque la responsabilidad recae sobre el dueño del sistema.
En este sentido, debe existir una obligación formal de comunicar al dueño de los datos que es él el responsable de cumplir con la legislación vigente y no otro. No obstante, tenemos que ayudar al cumplimiento, ya que somos parte de la cadena y en muchas ocasiones encargados del tratamiento.
Recordemos que un dato de carácter personal es todo aquel que identifica de manera inequívoca a un individuo; por ejemplo, una imagen que proporciona una cámara, una huella dactilar que utilizamos para un control de accesos, etc.
Por todo lo expuesto anteriormente debemos tender a modelos de hibridación donde el gobierno de la ciberseguridad debe estar lo más alineado posible con la seguridad física. Al final, las amenazas buscan vulnerabilidades estén donde estén y pueden ser no solo de carácter lógico, sino también físico. Y esto, insisto, nos lleva a modelos de hibridación. Hay que evolucionar a modelos de gestión de seguridad 360 grados, que las CRA se conviertan en SOC y puedan monitorizar todo tipo de amenazas, ya sean del mundo IT, físico (de los sistemas electrónicos de seguridad) o híbridos.