La compleja misión de blindar la ciberseguridad de las fábricas conectadas

Un reciente estudio de la compañía Kaspersky revela que el 74% de las empresas en España han sufrido al menos un ciberataque en los últimos dos años. Que lo hayan percibido, claro. Ya lo dijo John Chambers, antiguo CEO de la multinacional Cisco Systems: «Existen dos tipos de empresas, aquellas que han sido atacadas y aquellas que han sido atacadas, pero no lo saben».

La ciberseguridad en las fábricas 4.0 tiene ciertas particularidades. Las industrias inteligentes conectan máquinas, dispositivos, sensores y personas para optimizar la eficiencia, flexibilidad y agilidad de sus operaciones con analítica en tiempo real. El éxito de la protección pasa por la integración de sus entornos de IT (Tecnologías de la Información) y de OT (Operational Technology, Tecnologías Operativas) con herramientas que protejan la red.

«Una buena ciberseguridad en la industria 4.0 garantiza la continuidad de su negocio y el buen funcionamiento de los servicios que puedan depender de ella. También un refuerzo de la confianza del mercado en su responsabilidad a la hora de proteger las redes, sistemas y la información que por ellos circula y se almacena», apunta Francisco Pérez Bes, socio de Derecho digital en Ecix Tech y ex secretario general del Instituto Nacional de Ciberseguridad de España (Incibe).

Noticia Relacionada

El seguro frente a ciberataques se dispara en las empresas ante el aumento de las amenazas

Daniel Caballero

Los incidentes aumentaron un 9% en 2022 y las compañías cada vez se conciencia más sobre este riesgo

Cisco España apuesta por una seguridad para las fábricas 4.0 / Internet of Things (IoT) basada en la red que puede bloquear los ciberataques. Para ello aplica, afirma Ángel Ortiz, su director de Ciberseguridad, la segmentación: «Aislamos los objetos en caso de ataque o infección para que no afecten a la red corporativa». «Ofrecemos además soluciones de ciberseguridad frente a amenazas, gracias a tecnologías basadas en inteligencia artificial (IA) y a Cisco Talos, división que gestiona 550.000 millones de eventos de seguridad diarios en el mundo y bloquea 9 millones de e-mails cada hora y 2.000 dominios de Internet cada segundo», añade. «Con la automatización y simplicidad se detecta la amenaza una vez y se aplica la protección a todos los dispositivos conectados a la red», explica.

Las fábricas 4.0 tienen unas características que dificultan su protección, según Ortiz: «La mayoría de los dispositivos IoT no pueden protegerse a sí mismos, los ciberdelincuentes diseñan nuevos métodos capaces de atacar activos críticos que pueden provocar graves pérdidas económicas, en infraestructuras o para la naturaleza. Los silos IT/OT, así como sistemas y protocolos existentes ('legacy'), dificultan la implementación de una estrategia de ciberseguridad capaz de mitigar amenazas, como 'ransomware', 'phishing', 'commodity loaders' y APTs (amenazas persistentes y avanzadas), en tiempo real».

La IA y el aprendizaje automático ayudan a detectar comportamientos anómalos en la red. La compañía los usa para localizar ciberataques con su solución Cyber Vision en los entornos industriales, que incorpora un sensor. «Cisco estima que en España más de la mitad de las empresas industriales no saben qué elementos tienen conectados a sus redes», señala.

La industria 4.0 presenta particularidades, comenta Ortiz: «Tiene un mayor riesgo cualitativo en comparación con otros sectores por dos razones, la mayoría de los dispositivos IoT no pueden protegerse a sí mismos y no se han diseñado con seguridad integrada, creando una gran oportunidad para que los atacantes exploten las vulnerabilidades; la segunda es la implementación a escala y la complejidad que implica».

Manuel Carpio, director de ciberseguridad de Armatum, plataforma del grupo tecnológico español ABAI, describe las prestaciones del producto: «Es la primera plataforma en Europa y en América Latina que cuantifica económicamente a priori las consecuencias de un incidente cibernético. Con ayuda de la IA se realiza una econometría de los riesgos que se derivarían de un ataque a la infraestructura, a los datos, a la reputación, a cualquiera de los activos de la empresa».

«Entre las 15 tipologías de activos que se identifican en nuestra plataforma –expone Carpio, que ha sido responsable de ciberseguridad durante 16 años en Telefónica– se encuentran los sistemas ciberfísicos, que son las instalaciones mecánicas que contienen todo tipo de aparatos y de instrumentación industrial que está en las fábricas, comúnmente la robótica. Tenemos un capítulo específico dedicado a la indisponibilidad de las maquinarias de producción».

Un ciberataque a las fábricas 4.0 tiene graves consecuencias, según Carpio: «Puede causar defectos en los productos y que sean retirados del mercado o incluso la propia paralización de la producción, lo que genera pérdidas del tipo lucro cesante, pérdidas de beneficio, pérdidas por inactividad, incumplimiento de contratos y penalización de clientes».

Rafael Palacios, coordinador del Máster en Ciberseguridad de la Escuela Técnica Superior de Ingeniería de la Universidad Pontificia Comillas (Comillas ICAI), indica las ciberamenazas en la industria conectada: «Hay equipos que podemos considerar obsoletos o que son antiguos y tal vez son inseguros, pero no se pueden corregir. Además, cualquier proceso de actualización en la industria requiere parar la fábrica. La industria es más vulnerable y requiere otras capas de protección».

La nueva legislación de la Unión Europea, la Directiva NIS2, está prevista que entre en vigor el próximo octubre. En opinión de Palacios, «es un avance muy importante y que afecta mucho a la industria, pues obliga a que se haga una cierta auditoría de seguridad a todos los equipos, que va a redundar en el refuerzo de la seguridad de la industria».

En cuanto a la comparación con los países del entorno, Palacios se muestra optimista: «España es un país bastante maduro en los temas de ciberseguridad. Hay mucha conciencia, se están poniendo los medios, se está invirtiendo. Antes invertir en seguridad se consideraba un gasto».

A mayor tamaño de una empresa, mayor riesgo es un tópico que este experto quiere desmontar: «Todas las empresas son objetivo, lo que pasa que a lo mejor son objetivo de grupos de atacantes de un perfil diferente. A una gran empresa le pueden atacar de muchas maneras, a lo mejor le quieren espiar, robar información estratégica, quieren saber lo que va a hacer al futuro. Y a una empresa más pequeña, pues a lo mejor lo que quieren es meterle un ataque tipo 'ransomware' para dejarles parados y pedirles un rescate».

Sobre la cobertura legal, Pérez Bes aclara que no existe una normativa específica para industria 4.0, sino que el hecho de ser una industria conectada hace que le resulte de aplicación la normativa sobre ciberseguridad: «Esto les exigirá actuar con un mayor grado de diligencia debido a la exposición que la conectividad implica para sus sistemas, así como por el impacto que puede provocar en servicios esenciales para la sociedad».

El experto relata que los ciberseguros ayudan «a gestionar algunos de los riesgos y daños derivados de un incidente de ciberseguridad, y por eso se han convertido en imprescindibles en muchas empresas». Aunque avisa de que este producto lleva aparejado críticas: «Tanto por el alto coste de las pólizas (cada vez más al alza), como porque la cobertura suele dejar sin cubrir un amplio espectro de las amenazas reales».

Estas pólizas son más exigentes en la industria 4.0. «Tiene una complejidad técnica adicional –subraya Pérez Bes– y una dependencia superior en los sistemas conectados, que no son los sistemas de mercado habituales, sino que emplean sistemas Scada ('Supervisory Control and Data Acquisition'), que son especialmente complejos».