Una nueva investigaci\u00f3n ha descubierto m\u00e1s de 145.000 sistemas de control industrial (ICS) expuestos a Internet en 175 pa\u00edses, y solo EE. UU. representa m\u00e1s de un tercio de las exposiciones totales.<\/p>\n
El an\u00e1lisis<\/a>que proviene de la empresa de gesti\u00f3n de superficies de ataque Censys, encontr\u00f3 que el 38% de los dispositivos est\u00e1n ubicados en Am\u00e9rica del Norte, el 35,4% en Europa, el 22,9% en Asia, el 1,7% en Ocean\u00eda, el 1,2% en Am\u00e9rica del Sur y el 0,5% en \u00c1frica.<\/p>\n Los pa\u00edses con mayor exposici\u00f3n a servicios de ICS incluyen Estados Unidos (m\u00e1s de 48.000), Turqu\u00eda, Corea del Sur, Italia, Canad\u00e1, Espa\u00f1a, China, Alemania, Francia, Reino Unido, Jap\u00f3n, Suecia, Taiw\u00e1n, Polonia y Lituania.<\/p>\n Las m\u00e9tricas se derivan de la exposici\u00f3n de varios protocolos ICS de uso com\u00fan como Modbus, IEC 60870-5-104, CODESYS, OPC UA y otros.<\/p>\n Un aspecto importante que se destaca es que las superficies de ataque son \u00fanicas a nivel regional: Modbus, S7 e IEC 60870-5-104 se observan m\u00e1s ampliamente en Europa, mientras que Fox, BACnet, ATG y C-more se encuentran m\u00e1s com\u00fanmente en Norte Am\u00e9rica. Am\u00e9rica. Algunos servicios ICS que se utilizan en ambas regiones incluyen EIP, FINS y WDBRPC.<\/p>\n Es m\u00e1s, el 34% de las interfaces hombre-m\u00e1quina (HMI) de C-more est\u00e1n relacionadas con el agua y las aguas residuales, mientras que el 23% est\u00e1n asociadas con procesos agr\u00edcolas.<\/p>\n “Muchos de estos protocolos se remontan a la d\u00e9cada de 1970, pero siguen siendo fundamentales para los procesos industriales sin las mismas mejoras de seguridad que el resto del mundo ha visto”, dijo en un comunicado Zakir Durumeric, cofundador y cient\u00edfico jefe de Censys.<\/p>\n “La seguridad de los dispositivos ICS es un elemento cr\u00edtico en la protecci\u00f3n de la infraestructura cr\u00edtica de un pa\u00eds. Para protegerla, debemos comprender los matices de c\u00f3mo estos dispositivos est\u00e1n expuestos y vulnerables”.<\/p>\n Los ataques cibern\u00e9ticos dirigidos espec\u00edficamente a sistemas ICS han sido comparativamente raros, y hasta la fecha s\u00f3lo se han descubierto nueve cepas de malware. Dicho esto, ha habido un aumento en el malware centrado en ICS en los \u00faltimos a\u00f1os, especialmente despu\u00e9s de la actual guerra ruso-ucraniana.<\/p>\n A principios de julio, Dragos revel\u00f3 que una empresa de energ\u00eda ubicada en Ucrania fue atacada por un malware conocido como FrostyGoop, que aprovecha las comunicaciones Modbus TCP para interrumpir las redes de tecnolog\u00eda operativa (OT)<\/a>.<\/p>\n Tambi\u00e9n llamado BUSTLEBERM, el malware es una herramienta de l\u00ednea de comandos de Windows escrita en Golang que puede provocar un mal funcionamiento de los dispositivos expuestos p\u00fablicamente y, en \u00faltima instancia, provocar una denegaci\u00f3n de servicio (DoS).<\/p>\n “Aunque los malos actores utilizaron el malware para atacar los dispositivos de control de ENCO, el malware puede atacar cualquier otro tipo de dispositivo que hable Modbus TCP”, afirman Asher Davila y Chris Navarrete, investigadores de la Unidad 42 de Palo Alto Networks. dicho<\/a> en un informe publicado a principios de esta semana.<\/p>\n “Los detalles que necesita FrostyGoop para establecer una conexi\u00f3n Modbus TCP y enviar comandos Modbus a un dispositivo ICS espec\u00edfico pueden proporcionarse como argumentos de l\u00ednea de comandos o incluirse en un archivo de configuraci\u00f3n JSON separado”.<\/p>\n Seg\u00fan los datos de telemetr\u00eda capturados por la empresa, 1.088.175 dispositivos Modbus TCP estuvieron expuestos a Internet durante un per\u00edodo de un mes entre el 2 de septiembre y el 2 de octubre de 2024.<\/p>\n Los actores de amenazas tambi\u00e9n han puesto sus miras en otras entidades de infraestructura cr\u00edtica como las autoridades del agua. En un incidente registrado en los EE. UU. el a\u00f1o pasado, la Autoridad Municipal del Agua de Aliquippa, Pensilvania, fue violada al aprovechar controladores l\u00f3gicos programables (PLC) de Unitronics expuestos a Internet para desfigurar los sistemas con un mensaje anti-Israel.<\/p>\n Censys descubri\u00f3 que las HMI, que se utilizan para monitorear e interactuar con los sistemas ICS, tambi\u00e9n est\u00e1n cada vez m\u00e1s disponibles a trav\u00e9s de Internet para admitir el acceso remoto. La mayor\u00eda de las HMI expuestas se encuentran en EE. UU., seguidas de Alemania, Canad\u00e1, Francia, Austria, Italia, Reino Unido, Australia, Espa\u00f1a y Polonia.<\/p>\n Curiosamente, la mayor\u00eda de los servicios HMI e ICS identificados residen en proveedores de servicios de Internet (ISP) m\u00f3viles o de nivel empresarial, como Verizon, Deutsche Telekom, Magenta Telekom y Turkcell, entre otros, y ofrecen metadatos insignificantes sobre qui\u00e9n est\u00e1 utilizando realmente el sistema.<\/p>\n “Las HMI a menudo contienen logotipos de empresas o nombres de plantas que pueden ayudar a identificar al propietario y al sector”, dijo Censys. “Los protocolos ICS rara vez ofrecen esta misma informaci\u00f3n, lo que hace casi imposible identificar y notificar a los propietarios de las exposiciones. Probablemente sea necesaria la cooperaci\u00f3n de las principales empresas de telecomunicaciones que albergan estos servicios para resolver este problema”.<\/p>\n Que las redes ICS y OT proporcionen una amplia superficie de ataque para que los actores maliciosos la exploten requiere que las organizaciones tomen medidas para identificar y proteger los dispositivos OT e ICS expuestos, actualizar las credenciales predeterminadas y monitorear las redes en busca de actividad maliciosa.<\/p>\n El riesgo para tales entornos se ve agravado por una aumento en el malware de botnets<\/a> \u2014Aisuru, Kaiten, Gafgyt, Kaden y LOLFME<\/a> \u2013 explotar las credenciales predeterminadas de OT no solo para usarlas para realizar ataques de denegaci\u00f3n de servicio distribuido (DDoS), sino tambi\u00e9n para borrar los datos presentes en ellas.<\/p>\n La divulgaci\u00f3n se produce semanas despu\u00e9s de que Forescout revelara que las estaciones de trabajo de im\u00e1genes y comunicaciones digitales en medicina (DICOM) y los sistemas de comunicaci\u00f3n y archivo de im\u00e1genes (PACS), los controladores de bombas y los sistemas de informaci\u00f3n m\u00e9dica son los dispositivos m\u00e9dicos de mayor riesgo para las organizaciones de prestaci\u00f3n de atenci\u00f3n m\u00e9dica (HDO).<\/p>\n DICOM es uno de los servicios m\u00e1s utilizados por los dispositivos de Internet de los objetos m\u00e9dicos (IoMT) y uno de los m\u00e1s expuestos en l\u00ednea, se\u00f1al\u00f3 la empresa de ciberseguridad, con un n\u00famero importante de instancias ubicadas en EE.UU., India, Alemania, Brasil, Ir\u00e1n, y China.<\/p>\n “Las organizaciones sanitarias seguir\u00e1n enfrent\u00e1ndose a desaf\u00edos con los dispositivos m\u00e9dicos que utilizan sistemas heredados o no est\u00e1ndar”, dijo Daniel dos Santos, jefe de investigaci\u00f3n de seguridad de Forescout. dicho<\/a>.<\/p>\n “Un solo punto d\u00e9bil puede abrir la puerta a datos confidenciales de los pacientes. Es por eso que identificar y clasificar los activos, mapear el flujo de comunicaciones de la red, segmentar las redes y el monitoreo continuo son esenciales para proteger las redes de atenci\u00f3n m\u00e9dica en crecimiento”.<\/p>\n <\/p>\n![\"Ciberseguridad\"](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2024\/11\/Mas-de-145000-sistemas-de-control-industrial-en-175-paises.png\")
<\/a><\/center><\/div>\n<\/a><\/div>\n<\/a><\/div>\n<\/a><\/center><\/div>\n