Factor humano en la Ciberseguridad Industrial
Este artículo forma parte del Proyecto de Investigación sobre Ciberseguridad Industrial llevado a cabo conjuntamente por Sec2Crime y Bidaidea.
Resumen
Hoy en día, la transformación digital es una cuestión que está en auge, afectando cada vez más a las organizaciones, concretamente a las infraestructuras industriales. En este artículo se va a tratar cómo la Criminología puede aportar mucho valor a la Ciberseguridad, concretamente desde el enfoque de la prevención. Encontramos que los empleados de una organización son el principal objetivo de muchos atacantes para poder llevar a cabo con éxito un ciberdelito, y por ello la empresa debe prestar especial atención a este eslabón tan vulnerable.
Palabras clave: ciberseguridad, criminología, industria 4.0, prevención, OT, vulnerabilidades, empleados.
La criminología en el entorno tecnológico
La Criminología [1] es una ciencia multidisciplinar que aborda el estudio del delito (delincuente, víctima, entorno…) desde una visión holística a través de la unión de diferentes perspectivas científicas: Derecho, Psicología, Sociología, Medicina, Antropología…
Progresivamente, nos introducimos en un entorno tecnológico, en el que podemos encontrar una amplia variedad de delitos cometidos a través de la red. El ciberdelito es una tendencia que se encuentra en auge, principalmente consecuencia de la transformación digital, sobre todo, en el ámbito laboral. Aquí, la labor de prevención es un aspecto clave que desde la perspectiva criminológica permitiría abordar gran parte de la casuística que encontramos hoy en día.
El informe publicado por el Ministerio del Interior [2] sobre cibercriminalidad en nuestro país, establece un incremento de alrededor del 32% de los delitos relacionados con las tecnologías de la información y las comunicaciones. Y es que, los ciberdelincuentes aprovechan vulnerabilidades que puedan presentar los sistemas informáticos, como la confianza que tienen los usuarios en los mismos. Por eso es tan importante fomentar el conocimiento y la concienciación en los riesgos derivados del uso de las tecnologías de la información, estableciendo una cultura de ciberseguridad, para así poder anticiparse y prevenir los diferentes ciberincidentes.
Como se ha comentado, las empresas son cada vez más objetivo de los ciberdelincuentes. Según el balance publicado por INCIBE [3], durante el pasado año 2021 se registraron alrededor de 109.000 incidentes de ciberseguridad, afectando la mayoría de ellos a las organizaciones. El malware aparece como la categoría más destacada (un 29,88% de los incidentes). Y, aunque se esté invirtiendo más en materia de ciberseguridad y en la sensibilización de los empleados, queda un largo camino por recorrer.
Sectores afectados
Sectores como el de fabricación, entre otros, demuestran generalmente un bajo nivel de madurez en ciberseguridad. Siguiendo un estudio de TrendMicro [4], en el que se establece el impacto de los incidentes en los entornos OT, al menos el 40% de las infraestructuras industriales han sufrido algún tipo de incidente que ha tenido consecuencias en el proceso de fabricación, produciendo así interrupciones en sus operaciones. La mayoría de las organizaciones contemplan la ciberseguridad como un componente clave a la hora de prevenir y reducir estos incidentes en este sector, pues su principal preocupación es la interrupción de sus operaciones de negocio, ya que en el 72% de los casos los ataques se repitieron. Sin embargo, asumen una falta de preparación y recursos para poder afrontarlo.
Origen de la ciberseguridad industrial
Es aquí donde entra en juego el término de la ciberseguridad industrial, entendida como aquella destinada a fortalecer a las empresas industriales y de servicios para la industria ante ciberataques. La evolución de la transformación de las tecnologías hace que estas organizaciones cuenten con operaciones industriales digitalizadas (convergencia entre IT y OT), de manera que estos entornos se encuentren cada vez más interconectados, contando con despliegues de 5G, migración de información a la nube, etc. En muchos casos, ya se empieza a adoptar el término de “Smart factories” o industria 4.0.
Vulnerabilidades de la ciberseguridad industrial
Una de las principales vulnerabilidades que podemos encontrar en este entorno es el factor humano, considerado como el eslabón más débil de la ciberseguridad (y a la vez el más importante). En muchos casos, los empleados desconocen lo que puede suponer el desarrollo de sus acciones y, por tanto, los riesgos a los que puede exponer a la organización (usar el móvil corporativo para cuestiones personales, abrir archivos adjuntos de correos electrónicos sospechosos, etc.)
Se ha de destacar que una cadena es tan fuerte como su eslabón más débil. Es decir, por muy seguro que sea un sistema, si falla una de sus partes, esa seguridad desaparece. Por lo tanto, para evitar que este tipo de vulnerabilidades comprometan cada vez más el funcionamiento y los datos de la organización, se debe hacer hincapié en la prevención, de manera que se puedan minimizar los errores humanos.
La prevención como una defensa eficaz
La prevención desde el enfoque de la Criminología [5] podría aportar mucho valor. Esta contempla varios tipos (en este caso nos enfocamos en el delito-delincuente):
- Prevención primaria: se centra en los factores de riesgo que aumentan la probabilidad de que se produzca el delito. Es decir, antes de que este se
- Prevención secundaria: actúa cuándo y dónde se manifiesta el delito (in situ).
- Prevención terciaria: una vez producido el delito, se centra en el delincuente para disminuir la probabilidad de reincidencia
Para que un ciberataque llegue a producirse con éxito, los ciberdelincuentes suelen hacer uso de la ingeniería social para obtener información de la organización. Así, mediante la persuasión, engañan al usuario para obtener credenciales de acceso, infectar los sistemas mediante el envío de documentos adjuntos maliciosos, etc. Para ello, en muchas ocasiones, estos correos electrónicos cuentan con una apariencia legítima y confiable, de forma que el usuario cree que se trata de un contenido inofensivo, sin nada malicioso. Es en esta primera fase donde los ciberdelincuentes pueden identificar aquellas vulnerabilidades (empleados) que les va a permitir cometer ese ciberataque.
En este caso, la protección contra este tipo de técnicas de ingeniería social comienza en la educación y formación de los empleados de una organización, antes de que se produzca el delito, y así poder evitarlo (prevención primaria), creando una cultura de seguridad.
La organización debe conocer la formación en ciberseguridad de sus empleados, ya que, al fin y al cabo, estos son los que gestionan y emplean los dispositivos tecnológicos de la empresa para gestionar el principal activo, con mayor valor: la información. Además, ayudará mucho que la organización facilite formaciones cruzadas, en las que empleados del ámbito de IT y de OT puedan conocer las necesidades y características del trabajo realizado respectivamente.
No hay que olvidar que la concienciación mejora la seguridad, y esta mejora la imagen y reputación de la organización.
[1] [5] García-Pablos de Molina, A. (2013). Criminología: una introducción a sus fundamentos teóricos. Tirant lo Blanch.
[2] Ministerio del Interior (2021). Estudio sobre la cibercriminalidad en España. Ministerio del Interior. Recuperado de:https://estadisticasdecriminalidad.ses.mir.es/publico/portalestadistico/publicaciones.html
[3] INCIBE (2021). Balance de Ciberseguridad. https://www.incibe.es/sites/default/files/paginas/que-hacemos/balance_ciberseguridad_2021_incibe.pdf
[4] TrendMicro (2022). The State of Industrial Cybersecurity. https://resources.trendmicro.com/IoT-survey-report.html
AUTOR: Sonia Ayuso
Linkedin: https://www.linkedin.com/in/82a39a123/
Consultora de Ciberseguridad en Bidaidea Ciberseguridad.