Blog de WatchGuard

Los pendrives todavía son un gran vector de amenazas

Durante el pasado año, creció un 30% el uso de pendrives en organizaciones industriales. Los ciberatacantes observaron esta tendencia y por eso, doblaron el número de amenazas diseñadas para ser utilizadas desde estos dispositivos; de ellas, un 79% podrían afectar a las instalaciones y maquinaria. Esas son las principales conclusiones de un reciente estudio publicado por una firma especializada en este sector.

Pandemia como causa

La publicación señaló a la pandemia como causa del aumento de estos riesgos. El trabajo en remoto también ejerció presión sobre su ciberseguridad, como hemos abordado en otras ocasiones en el blog, pero existen diferencias con respecto a las compañías del sector servicios: ocurre que muchos sistemas de “Tecnología Operacional” (OT, por sus siglas en inglés, es decir, maquinaria e instalaciones industriales) se encuentran “air-gapped”, lo que significa que su red está aislada de conectividad con Internet u otras redes consideradas inseguras. Eso hizo que los empleados que tuvieran que teletrabajar, recurrieran con mucha más frecuencia a conectar memorias externas a esos equipos para almacenar ahí sus datos y así poder tenerlos desde sus casas.

Los ciberatacantes tomaron nota de ello y por eso, de todo el malware detectado, un 76% correspondió a troyanos con capacidades de control remoto. Además, también observaron cambios en las técnicas empleadas con respecto a otros años: un número significativo de malware apareció en documentos infectados (sobre todo Excel), que contenían código malicioso embebido en scripts y macros.

Tendencias preocupantes

En cualquier caso, todas esas tendencias que refleja el informe son preocupantes por varios motivos:

En primer lugar, porque parte de las organizaciones con instalaciones industriales son consideradas infraestructuras críticas: proporcionan servicios esenciales para la sociedad, como el suministro de energía, y una interrupción de su operatividad puede tener consecuencias directas graves para la población. El último gran ejemplo lo constituye el incidente en la planta de agua de Oldsmar (Florida), donde el ciberatacante pudo alterar de forma remota los niveles de sodio del suministro.

En segundo lugar, porque recuerda que algunos de los ciberataques en el sector industrial que causaron más daños en el pasado tuvieron a los pendrives como protagonistas, como fue Stuxnet, que paralizó una planta nuclear en Irán: un trabajador reclutado como insider por una agencia de inteligencia introdujo el malware a través de una conexión USB.

Y en tercer lugar, porque el malware a través de pendrives había descendido por la menor frecuencia de uso de estos dispositivos y ahora con la pandemia vuelve a crecer: su empleo es cada vez más esporádico al ser sustituidos por el almacenamiento en la nube, aunque es cierto que en las organizaciones industriales se ha mantenido más debido a las características “air-gapped” que hemos comentado.

Políticas de uso y protección total en el endpoint

El primer paso para minimizar los riesgos de amenazas es contar con una política estricta con pautas para el uso de los pendrives en la organización. Estas prácticas deberían incluir los equipos industriales en los que se pueden conectar, establecer niveles de roles y permisos según el perfil de los empleados, utilizar solo dispositivos proporcionados y verificados por el equipo de TI o el MSP de la organización y que solo se puedan usar en los ordenadores portátiles proporcionados por la empresa y debidamente protegidos.

Sin embargo, estas pautas pueden no ser suficientes ante la peligrosidad de las amenazas: si las instalaciones son infraestructuras críticas, pueden constituir un objetivo para grupos APT vinculados a estados que emplean herramientas y malware muy sofisticado que es capaz de sortearlas. En este contexto, las organizaciones necesitan contar con la seguridad en el endpoint más avanzada posible y una visibilidad total de toda su actividad, que incluya la conectividad USB.

WatchGuard Endpoint Security (ahora disponible en WatchGuard Cloud) es la respuesta a esa necesidad: su Zero-Trust Application Service presente en sus soluciones WatchGuard EDR y WatchGuard EPDR clasifica primero los procesos como malware o confiables, y luego permite que solo los procesos confiables se ejecuten en cada endpoint. Así se reducen enormemente las posibilidades de que un malware de pendrive no se identifique y consiga introducirse en cualquier equipo. Y como consecuencia, los ciberatacantes tendrán muchas menos opciones para lograr sus objetivos contra instalaciones industriales.