Con el reciente ataque de ransomware que afectó el funcionamiento de uno de los principales oleoductos de EE.UU. [1], es un buen momento para volver a examinar el antiguo tema de los sistemas industriales conectados a Internet. Dado que las tecnologías operativas se utilizan generalmente para apoyar y controlar procesos que impactan directamente en el mundo físico, el peligro de ataques exitosos contra ellas debe ser evidente, al igual que la necesidad de protegerlas.

Si bien es cierto que no todos los ICS, dispositivos de IoT industrial y otros sistemas similares son iguales, ya que algunos de ellos admiten procesos altamente críticos, mientras que otros solo controlan funciones menores como la calefacción central en residencias privadas, el compromiso de cualquiera de ellos ciertamente no es deseable. Por lo tanto, uno esperaría que, al menos, la mayoría de estos sistemas no sean directamente accesibles desde Internet, especialmente porque generalmente se controlan con la ayuda de protocolos industriales especializados, que carecen de cualquier tipo de controles de seguridad incorporados o incluso controles de autenticación y autorización.

Sin embargo, la cantidad de sistemas industriales conectados a Internet es, lamentablemente, mucho mayor de lo que uno podría desear.

Dado que (especialmente) muchos de los dispositivos de IoT industrial se controlan solo a través de interfaces web, sería difícil contar todos estos sistemas en Internet. Sin embargo, podemos al menos mirar la cantidad de IP públicas donde los dispositivos que se comunican usando diferentes protocolos industriales reconocidos por Shodan y Censys son o fueron accesibles.

Al momento de escribir este artículo, Shodan detecta aproximadamente 80.8k direcciones IP públicas donde se puede acceder a algún tipo de sistema industrial, mientras que Censys ve alrededor de 74.2k de tales IP. Aunque este no es un resultado "bueno", las cifras son significativamente más bajas que hace 12 meses, como muestra el siguiente cuadro basado en datos recopilados de Shodan utilizando TriOp.

Aunque probablemente sería demasiado optimista esperar que mejore significativamente en el futuro cercano, tal vez la atención que han recibido los recientes ataques al oleoducto y una planta de tratamiento de agua en Florida tenga algún efecto positivo en esta área, ya que puede dar un impulso a las organizaciones para que al menos comprueben si algunas de sus direcciones IP públicas no permiten el acceso directo a sus sistemas críticos de OT a cualquier persona conectada a Internet.

Dado que dicha verificación podría ser tan simple como un escaneo de nmap de los rangos de IP públicos relevantes, no necesariamente costaría tanto en términos de tiempo.

Fuente: ISC