Evitando la fuga de información en SCI

Fecha de publicación 28/05/2020
Autor
INCIBE (INCIBE)
Evitando la fuga de información en SCI

Se conoce como exfiltración de datos, o fuga de información, a la transferencia de información sensible entre la red de una organización víctima y una ubicación externa controlada por atacantes externos a la organización o por los denominados insiders. Cuando sucede un hecho de estas magnitudes es común pensar que ha ocurrido un incidente de ciberseguridad y que un usuario no legítimo ha conseguido el acceso a la red de la empresa.

Como muestran algunos estudios realizados por firmas de seguridad, lo más común (ocurre en el 57% de los casos) es que los incidentes relacionados con la exfiltración sean llevados a cabo por personas externas a la organización. Otro dato relevante del estudio es que alrededor del 20% de los casos de exfiltración están causados por empleados internos de manera no intencionada. Una de las medidas más directas para evitar este tipo de situaciones es concienciar a los empleados sobre cómo manipular información de la empresa, como por ejemplo, cómo deben utilizar sus redes sociales para que no expongan información de manera no intencionada.

Actores implicados en una fuga de información (septiembre 2015)

- Actores implicados en una fuga de información (septiembre 2015). Fuente: McAfee -

La fuga de cierta información podría afectar a la disponibilidad del sistema en uso, que es el factor más importante dentro de los entornos industriales. Ciberataques avanzados, como el detectado en Ucrania a finales de 2015, muestran la importancia de cierta información como: esquemas de red, direcciones de memoria de dispositivos industriales, comportamiento de entradas y salidas, etc. Una fuga de la información no tiene por qué afectar directamente a la red industrial, sino que podría producirse en la parte corporativa y facilitar al atacante la información necesaria para, posteriormente, realizar un ataque más elaborado que pudiera afectar a la red industrial y parar la producción.

Por otro lado, existen activos dentro de las redes industriales que poseen información de gran importancia para el buen funcionamiento de los procesos industriales, como es el caso de los historians, bases de datos donde se almacena información de los procesos ejecutados en un sistema de control industrial o las estaciones de ingeniería. En el caso de los historians, existen empresas que basan su producción en los datos recopilados a lo largo de un día, una semana, mes, etc. Es por ello que la exfiltración de estos datos podría resultar ventajosa, tanto para la competencia como para otros actores interesados en originar acciones maliciosas.

Por su parte, las estaciones de trabajo suelen disponer de soporte informático por parte del fabricante o desarrollador, que realizan diferentes programaciones con el objetivo de ajustar los procesos industriales, incorporar nuevos activos en una planta industrial y un sinfín de operaciones que dependen, en muchos casos, de estas programaciones. Una exfiltración de la información que contienen estos programas, en ocasiones, podría suponer una gran ventaja para que los ciberatacantes tengan un conocimiento profundo de las variables y direcciones que interactúan en el proceso. De esta forma, un atacante podría obtener conocimiento completo de los procesos, desde qué variables actúan sobre los PLC hasta la arquitectura de la red industrial.

Posibles vías de exfiltración de datos

Las vías de fuga de información son muy numerosas:

  • Peer-to-peer (P2P): el uso de estas redes suele ser un medio utilizado por los ciberatacantes para la extracción de datos. Las redes P2P son comúnmente utilizadas para el intercambio de archivos y su uso puede ser un vector de entrada de ciberataques. Dentro de la pirámide de automatización en ocasiones es común ver redes punto a punto a nivel 1 entre controladores para la gestión de celdas/áreas.
    Un atacante podría aprovechar estos canales para intercambiar información a través de las redes que posee una organización para, finalmente, enviar la información a un servidor externo del que tiene control.
    Para evitar estas situaciones se aconseja filtrar correctamente las comunicaciones con cortafuegos específicos a nivel industrial y, en un plano más general donde pueden convivir comunicaciones más corporativas con otras industriales, tener una buena segmentación y hacer uso de diferentes DMZ específicas para cada entorno.

  • Dispositivos de almacenamiento extraíbles: los dispositivos de almacenamiento extraíbles, como los USB o los CD, son un posible canal de fuga de información. En este caso, la persona que ejecute el robo de información debe tener acceso físico a los equipos donde se encuentra la información objetivo. Este tipo de exfiltración de información resulta más trivial para un insider que para un atacante externo. Para prevenir tanto la exfiltración de datos como posibles infecciones es recomendable deshabilitar el uso de estos medios en los equipos, siempre y cuando su uso no sea estrictamente necesario. En este último caso, es recomendable controlar quién tiene acceso físico a los equipos y poseer una lista blanca de medios extraíbles permitidos. Como medida extra también se aconseja deshabilitar la autoejecución de los mismos.

  • Comunicaciones propias para el intercambio de datos: protocolos como FTP (File Transfer Protocol), TFTP (Trivial File Transfer Protocol), SFTP (SSH File Transfer Protocol), etc. son ampliamente utilizados para la transferencia de ficheros, tanto en redes corporativas como industriales, y también podría ser una vía de fuga de información sensible. Para evitar que ciberatacantes utilicen estos medios con el objetivo de exfiltrar información, es aconsejable controlar el flujo de datos de dichos protocolos entre redes internas y externas a la organización. Otra recomendación es el uso de protocolos seguros como son el SFTP o el FTPS (FTP Secure), ya que utilizan cifrado para la transmisión de archivos.
    Si se utilizan estas comunicaciones para intercambiar información con servidores públicos pertenecientes a la propia organización, sería recomendable el uso de herramientas de monitorización de tráfico.

  • Canal encubierto con comunicaciones industriales: una de las maneras de realizar una exfiltración de datos entre dispositivos industriales fue investigada y ejecutada gracias al uso del protocolo Modbus TCP. En esta investigación, se comenta cómo utilizando cabeceras del protocolo Modbus TCP en las comunicaciones entre maestro/esclavo, es posible un intercambio de datos que no se considera legítimo.
    Para establecer el canal encubierto, un maestro “secreto” envía una solicitud para leer el objeto de un esclavo “secreto” de los distintos registros que emplea Modbus (coil, discrete input, holding register o input register). A continuación, el esclavo “secreto” recibe la solicitud, verificando el código de función y el número de objeto que se le solicita. El maestro “secreto” siempre utiliza la función de la trama de “solo lectura”, por lo que los posibles cortafuegos que haya en el SCADA no bloquean el intercambio de mensajes.
    Las medidas de mitigación ante este ataque están relacionadas con la configuración que exista en el SCADA. Si existen controles de seguridad como cortafuegos o IDS, estos deben estar configurados para permitir objetos válidos Modbus TCP, pero con el número de objeto que se utiliza en esa red.

  • Ataques de canal lateral (side-channel attacks): se entiende por canal lateral una transmisión no funcional de información sobre el estado de un sistema. Por ejemplo, la radiación electromagnética en los chips de silicio no es una función principal, sino una característica derivada de las operaciones eléctricas que se realizan. La radiación emitida por el chip de control de un PLC lleva implícita información relevante sobre las operaciones que se llevan a cabo, como el tipo de acciones a realizar y su frecuencia. Un ciberatacante podría poner una sonda, analizar la señal en un osciloscopio y recopilar información sobre la actividad de los PLC.

Estas son algunas de las posibles vías de exfiltración de información, aunque existen muchas más, algunas de ellas más elaboradas, como podría ser el uso de peticiones DNS para la filtración de información o incluso utilizando las señales de RF que emiten algunos PLC para inyectar en dichas señales la información, como demostraron unos investigadores en la Industrial Control Systems (ICS) Cyber Security Conference.

Además de estas vías de exfiltración existen algunas más tradicionales, como podrían ser el uso de fotografías, el robo de equipos o de documentos o, incluso, la utilización de emails para enviar información. Por ello, también deberíamos implementar un control de accesos riguroso, de manera que cualquier persona, ya sea externa o interna, con acceso a las instalaciones, sea controlada y no pueda exfiltrar la información siguiendo estos métodos más sencillos.

¿Qué hacer cuando ha ocurrido una fuga de información?

Las diferentes gestiones a realizar tras una fuga de información fueron reflejadas ya en una guía desarrollada por INCIBE y destinada a empresarios. Esta guía proporciona un acercamiento a cómo gestionar una fuga de información. Los pasos a seguir, aunque se hable de entornos industriales, se asemejan bastante a los ya comentados y se dividen en seis fases:

  • Fase inicial: esta es la fase en la que se tiene conocimiento del incidente. Lo más importante de esta fase es la detección temprana del incidente, de manera que sea identificado antes de que la filtración se haga pública para reducir el tiempo de respuesta al mismo.
  • Fase de lanzamiento: una vez detectado el incidente se ha de reunir el gabinete de crisis. En esta reunión, el gabinete deberá definir todas las decisiones y pasos a seguir para afrontar el incidente. Es importante evitar actuaciones por libre y que no hayan sido planteadas por el gabinete.
  • Fase de auditoría: en esta tercera fase se debe realizar una auditoría interna para la obtención de información sobre el incidente. En esta fase, entre otras cosas se debe obtener como mínimo:
    • La cantidad de información sustraída.
    • El tipo de información sustraída.
    • Procedencia de la información (interna o externa).
    • La causa de la filtración.
    Además de esta auditoría interna se ha de realizar una auditoría externa donde:
    • Se determine el alcance de la publicación de la información.
    • Se determine qué información se ha podido hacer pública.
    • Se recojan las posibles noticias sobre el incidente.
    • Se conozcan las reacciones que se están produciendo en relación al incidente.
  • Fase de evaluación: el objetivo de esta fase es determinar el alcance y posibles consecuencias e impacto del incidente. El gabinete de crisis se volverá a reunir, se presentará el informe de auditoría y se planificarán las principales acciones a llevar a cabo.
  • Fase de mitigación: en esta fase se ha de intentar mitigar al máximo posible el impacto del incidente en el menor tiempo posible, comunicándose con los posibles afectados por la fuga de información y solucionando la brecha de seguridad aprovechada en la fuga.
  • Fase de seguimiento: en esta última fase se evaluará el resultado de las acciones realizadas en relación a las consecuencias del incidente y su impacto. Teniendo en cuenta las valoraciones finales, se diseñarán e implantarán las medidas definitivas para evitar nuevas fugas y restablecer el normal funcionamiento de los servicios e infraestructuras afectados.

Fases de actuación tras un ciberataque

- Fases de actuación tras un ciberataque. Fuente: AEPD -

Herramientas para evitar la exfiltración de datos: DLP

Es interesante comentar la técnica denominada DLP (Data Loss Prevention) utilizada para garantizar que no se pierda información sensible en una organización. El software DLP clasifica la información más crítica e identifica cualquier violación de las políticas definidas por la organización o las ya predeterminadas por ley, como el RGPD en el caso de Europa.

Existen tres tipos de herramientas DLP según la movilidad de la información que se esté protegiendo.

  • Información en uso (acciones de endpoint): protege los datos que están siendo procesados de manera constante.
  • Información en movimiento (tráfico de red): asegura que la información confidencial no se enrute fuera de la organización cuando esta se transmite a lo largo de la red.
  • Información en reposo (almacenamiento de datos): preserva la integridad de los datos aunque no estén siendo usados.

Este método permite a una organización mantener un seguimiento de sus datos y evitar tanto la pérdida de datos por error como la fuga de información de una manera intencionada.

Conclusiones

Un incidente de exfiltración puede provocar una pérdida de confidencialidad en la información sensible de la organización. Esto permitiría a los ciberdelincuentes elaborar ataques complejos con consecuencias graves en la disponibilidad de las operaciones, uno de los pilares fundamentales sobre el que giran todos los procesos a nivel industrial. Por ello, se aconseja el uso de una red bien segmentada con un control del tráfico exhaustivo que permita detectar flujos de datos anómalos entre activos y, en caso de ser posible, utilizar otros mecanismos y medidas de seguridad a otros niveles, como deshabilitar medios extraíbles o el uso de herramientas DLP.

La reducción de las posibilidades de que ocurran incidentes de exfiltración se logra con formación para los empleados sobre el tratamiento de la información y mediante el control constante de las vías de transmisión de información.

Etiquetas