Blog de WatchGuard

USBs, y Pendrives, vectores de ataque en aumento.

Las nuevas amenazas están diseñadas para ser utilizadas desde estos dispositivos.

Durante el año 2020 y 2021, se evidenció un crecimiento del 30% en el uso de pendrives en organizaciones industriales. Ante esta tendencia, los hackers duplicaron el número de amenazas diseñadas para ser utilizadas desde estos dispositivos; de ellas, un 79% podrían afectar a las instalaciones y maquinaria. Esas son las principales conclusiones del estudio publicado por una firma especializada en este sector.

La publicación señaló a la pandemia como causa del aumento de estos riesgos. Los cibercriminales, permanentemente al acecho, encuentran en este escenario un atractivo mayor. 

El trabajo en remoto también ejerció presión sobre su ciberseguridad, como hemos abordado en otras ocasiones, pero existen diferencias con respecto a las compañías del sector servicios: ocurre que muchos sistemas de “Tecnología Operacional” (OT, por sus siglas en inglés, es decir, maquinaria e instalaciones industriales) se encuentran “air-gapped”, lo que significa que su red está aislada de conectividad con Internet u otras redes consideradas inseguras. Eso hizo que los empleados tuvieran que teletrabajar y recurrieran con mucha más frecuencia a conectar memorias externas a esos equipos para almacenar sus datos y poder tenerlos disponibles en sus hogares.

Los ciberatacantes tomaron nota de ello y por eso, de todo el malware detectado, un 76% correspondió a troyanos con capacidades de control remoto. Además, también se observaron cambios en las técnicas empleadas con respecto a otros años: un número significativo de malware apareció en documentos infectados (sobre todo Excel), que contenían código malicioso embebido en scripts y macros.

En cualquier caso, todas esas tendencias que refleja el informe son preocupantes por varios motivos:

  • En primer lugar, porque parte de las organizaciones con instalaciones industriales son consideradas infraestructuras críticas: proporcionan servicios esenciales para la sociedad, como el suministro de energía y una interrupción de su operatividad puede tener consecuencias directas graves para la población. Un lo constituye el incidente en la planta de agua de Oldsmar (Florida, EE. UU.), donde los ciberatacantes lograron alterar de forma remota los niveles de sodio del suministro.

     
  • En segundo lugar, porque recuerda que algunos de los ciberataques en el sector industrial que causaron más daños en el pasado tuvieron a los pendrives como protagonistas, como fue Stuxnet, que paralizó una planta nuclear en Irán: un trabajador reclutado como insider por una agencia de inteligencia introdujo el malware a través de una conexión USB.

     
  • En tercer lugar, porque el malware a través de pendrives había descendido por la menor frecuencia de uso de estos dispositivos y ahora con la pandemia vuelve a crecer: su empleo es cada vez más esporádico al ser sustituidos por el almacenamiento en la nube, aunque es cierto que en las organizaciones industriales se ha mantenido más debido a las características “air-gapped” que hemos comentado.

La implementación de políticas de uso resulta fundamental para minimizar los riesgos de amenazas.

Es necesario contar con una política de uso estricta, con pautas bien definidas, sobre la utilizacion de estos dispositivos en la organización.

 

Los especialistas de WatchGuard recomiendan tener en cuenta estas 3 prácticas principales: 

  1. Verificar los equipos industriales en los que se pueden conectar, 
  2. Establecer niveles de roles y permisos según el perfil de los empleados, 
  3. Utilizar solo dispositivos proporcionados y verificados por el equipo de TI o el MSP de la organización, como también el uso en los ordenadores portátiles proporcionados por la empresa y debidamente protegidos.

Sin embargo, estas pautas pueden no ser suficientes ante la peligrosidad de las amenazas: si las instalaciones son infraestructuras críticas, pueden constituir un objetivo para grupos APT vinculados a estados que emplean herramientas y malware muy sofisticado que es capaz de sortearlas. 

En este contexto, las organizaciones necesitan contar con la seguridad en el endpoint más avanzada posible y una visibilidad total de toda su actividad, que incluya la conectividad USB.

Para tener una protección total en el endpoint, tenemos WatchGuard Endpoint Security (ahora disponible en WatchGuard Cloud) como respuesta a esa necesidad: su Zero-Trust Application Service presente en sus soluciones WatchGuard EDR y WatchGuard EPDR clasifica primero los procesos como malware o confiables y luego permite que solo los procesos confiables se ejecuten en cada endpoint. 

De esta manera se reducen enormemente las posibilidades de que un malware de pendrive no se identifique y consiga introducirse en cualquier equipo. Como consecuencia, los ciberatacantes tendrán muchas menos opciones para lograr sus objetivos contra instalaciones industriales.-