Revista ElectroIndustria - Raúl Doria, Technical Services Manager de F-Secure para Latinoamérica: “Los cibercriminales tienen como objetivo el mercado industrial”

Raúl Doria, Technical Services Manager de F-Secure para Latinoamérica

“Los cibercriminales tienen como objetivo el mercado industrial”


	El equipo de F-Secure se encuentra realizando una rigurosa vigilancia sobre la familia del malware Havex, diseñado para atacar industrias del sector energético y, especialmente, los sistemas de control SCADA. Para conocer si Chile está en riesgo, conversamos con Raúl Doria, Technical Services Manager de F-Secure para Latinoamérica.

Raúl Doria

¿Son los virus o troyanos una nueva amenaza para el mercado industrial chileno?
Los virus, los troyanos u otro tipo de código malicioso son una amenaza real desde hace mucho tiempo para toda persona que está conectada a la red, independientemente de su rama o actividad. La diferencia radica en que en los últimos meses los cibercriminales han puesto la mira en el mercado industrial, razón por la cual las compañías deben tomar conciencia de a qué amenazas están expuestas, y transmitir esto a sus colaboradores, quienes de una u otra forma pueden ser la puerta de entrada a la red corporativa. En este sentido, la educación digital juega un rol fundamental para cualquier estrategia de seguridad corporativa.

Según sus registros, ¿qué virus son los más importantes este 2014?
La familia de malware Havex es uno de los códigos maliciosos más importantes enfocados en el sector industrial, sobre todo en el segmento energético, y ha tomado más importancia desde el año pasado. Hasta el momento tiene 88 variantes y está dirigido a los centros de datos de las que son denominadas como manufacturas avanzadas. Tiene por objetivo tomar los centros de control de procesos industriales (Industrial Control Systems), conocidos como SCADA por sus siglas en inglés (Supervisory Control and Data Acquisition). Funciona por medio de la descarga de un software infectado de los portales de las compañías y contagia las terminales una vez que se ejecuta. Sus componentes principales son un troyano de acceso remoto (Remote Access Trojan, en inglés) y un servidor escrito en PHP.

¿Ya han infectado a algunas organizaciones?
Nuestro laboratorio ha detectado que entre las empresas que han sufrido ataques en sus centros de control, se encuentran dos organizaciones educativas en Francia, las cuales se distinguen por sus investigaciones en el campo tecnológico; mientras que en Alemania y en Rusia se han enfocado en el sector industrial, de construcción de maquinaria pesada e ingeniería estructural.

¿Cuáles son los métodos más comunes de infección?
Si bien existen los ataques externos a las redes industriales, otra de las técnicas que están presentes, y cada vez son más comunes, son los ataques que aprovechan el desconocimiento digital de los usuarios. Las formas más comunes de explotar la vulnerabilidad del usuario son a través de Phishing, donde el ciberdelincuente envía un correo a un número de usuarios con un link a un sitio web malicioso o un archivo adjunto que contiene el código malicioso. De esta forma, el usuario cuando entra a ese portal a descargar (y ejecutar) el archivo, ya infectó su terminal, el cual puede ser el punto de entrada a toda la red. El envío consiste en un correo electrónico con el remitente falsificado, el cual puede ser alguna empresa, entidad bancaria o una persona conocida. Es por esto que la cultura digital es la base de toda estrategia de seguridad.

¿Existen otras formas de infección?
También está la modalidad Gota de agua o “watering hole attack”, ataque que está orientado a un segmento de usuarios o grupos bien estudiados. Se analiza cuáles son los portales que más visitan las personas y se los ataca colocando un código malicioso el cual infecta el terminal cuando se accede a alguno de ellos. Esto puede ser, por ejemplo, una página donde los colaboradores piden comida. Otras puertas de entrada para los ciberdelincuente pueden ser los sistemas operativos o las aplicaciones sin actualizar. Aunque también está presente el enemigo interno, es decir, que un usuario puede colocar una memoria o disco externo mediante un puerto USB con un código malicioso, ya sea por desconocimiento o intencionalmente, como sucedió hace pocos años con el gusano informático Stuxnet.

¿Qué medidas podemos adoptar para prevenir un ataque?
Los gerentes o directores de tecnología de las compañías necesitan implementar una estrategia para educar a los usuarios de terminales, ya sean de escritorio o portátiles, como también contar con una herramienta que les permita tener una visión integral de toda la infraestructura tecnológica para conocer qué terminal necesita una actualización o dar los permisos para ingresar por memorias USB o discos externos, como saber qué dispositivo se conecta a la red, ya sea por cable o inalámbricamente.

Al momento de implementar un sistema de seguridad, se debe tener presentes las amenazas del día 0 o malware, por ejemplo, como también educar a los usuarios de las terminales para que ellos no sean la grieta o medio del sistema de seguridad.

¿Es Chile un mercado objetivo para los hackers? Toda computadora que esté conectada a Internet es un objetivo potencial de los cibercriminales, como también de las agencias de espionaje, privadas, etc. Ya no se trata de tener por objetivo un país determinado, sino que lo que motiva los ataques en la actualidad puede ser obtener un rédito, como información clasificada, con fines de espionaje. Hay que recordar que estamos en una sociedad donde lo más importante es la información, y cada día se produce una cantidad exponencial de datos.

En la actualidad, las organizaciones pueden conseguir sistemas de seguridad de primer nivel, sin embargo, el punto ya no radica solamente en defenderse de los virus, sino que hay múltiples estrategias de ataques con el objetivo de obtener información clasificada. Por esto, es necesario hacer foco en la educación digital de los usuarios y contar con soluciones que hagan respetar la privacidad digital. Un ejemplo es tener el sistema operativo y aplicativos actualizados con sus últimas versiones (hotfixes, patches, etc.).