Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

La seguridad industrial de 2022 en cifras

Fecha de publicación 19/01/2023
Autor
INCIBE (INCIBE)
La seguridad industrial de 2022 en cifras

Desde INCIBE-CERT se ha continuado trabajando a lo largo de todo el año 2022 en los servicios de alerta temprana y avisos en materia de ciberseguridad. Específicamente, en la sección de avisos SCI, donde se han publicado diferentes avisos relacionados con los Sistemas de Control Industrial y el mundo del Internet de las Cosas en entornos industriales (IIoT). Este servicio específico se creó hace siete años con el objetivo de proporcionar a todas las empresas del sector industrial un medio donde consultar información sobre las vulnerabilidades más recientes que pueden tener sus dispositivos, para poder así aplicar las medidas de mitigación oportunas, que aportan los fabricantes de los productos afectados o a partir de documentación de buenas prácticas en la configuración de dispositivos, segmentación de redes, etc., con la mayor rapidez posible.

Esta información, además de encontrarse disponible vía web y por RRSS, puede consultarse a través de un boletín, con el cual los usuarios se pueden informar de todas las vulnerabilidades que afectan a dispositivos, software y otros elementos de fabricantes industriales.

Adicionalmente a esta publicación diaria del sistema de alerta temprana y de avisos para Sistemas de Control Industrial, INCIBE, a través de INCIBE-CERT, ha continuado con la difusión de la ciberseguridad sobre este tipo de sistemas, publicando contenidos específicos en el blog y también a través de diferentes guías y estudios.


Gráfico de números de avisos publicados por mes durante 2022

- Números de avisos publicados por mes durante 2022.

Echando un vistazo al trabajo desarrollado a lo largo de 2022, se observa la publicación de 338 avisos relacionados con el sector industrial, los cuales abarcan desde dispositivos del mundo IoT a otros más tradicionales del mundo industrial, además de avisos relacionados con aplicaciones (de escritorio, web, aplicaciones para móviles, etc.), elementos de comunicación de este entorno y otros temas. Es importante matizar que un mismo aviso puede tener varias vulnerabilidades, como veremos más adelante, pero en esta gráfica solo se encuentran contabilizados los avisos.

El ritmo constante de publicación de vulnerabilidades podría deberse a los continuos reportes que realizan los investigadores en materia de ciberseguridad industrial y al aumento de la sensibilización en este ámbito, por parte de las empresas industriales.

Clasificación por sectores

Respecto a los sectores implicados, se puede observar que se han producido avisos que han afectado a casi todos los sectores estratégicos definidos en la Ley de Protección de Infraestructuras Críticas (Ley 8/2011), tal y como refleja el siguiente gráfico.

Gráfico evolución de avisos por sector

Evolución de avisos por sector. El sector energía, al igual que años anteriores, el más afectado (excluyendo “otra industria”, que no es un sector propiamente).-

Al igual que en años anteriores, la mayor parte de los avisos publicados se relacionan con dispositivos multipropósito. Esto significa que un único aviso, además de contener diferentes vulnerabilidades, puede afectar a diferentes sectores, siendo el sector denominado “otra industria” el más numeroso.

De igual forma, es importante resaltar que los sectores que aglutinan más avisos no tienen por qué ser más inseguros, ya que existen otros factores, como la cantidad de dispositivos, fabricantes y procesos que se utilizan de forma más cotidiana en cada sector. Por ejemplo, el sector energía es el sector más afectado por los avisos, ya que, prácticamente, todos los procesos implicados en este sector, son utilizados de forma constante, y en muchas ocasiones, otros sectores se apoyan en el de energía para lograr dar servicio.

Naturaleza de los avisos

La catalogación de las vulnerabilidades analizadas en cada aviso se ciñe a los diferentes tipos de vulnerabilidades descritas en la lista (Common Weakness Enumeration). En dicha lista, se reflejan prácticamente todas las vulnerabilidades que pueden afectar a diferentes activos, incluyendo una breve descripción de cada una.

Las vulnerabilidades más destacadas y que afectan a dispositivos relacionados con el mundo industrial en 2022 son:

Ranking naturaleza de vulnerabilidades 2022 (top 10)

- Naturaleza de vulnerabilidades 2022 (top 10). Téngase en cuenta que un aviso puede estar relacionado con varias vulnerabilidades.-

Las vulnerabilidades más comunes incluyen la validación incorrecta de parámetros de entrada, el Cross-Site Scripting (XSS) y el desbordamiento de búfer basado en pila, lo cual pone en evidencia la necesidad de seguir buenas prácticas durante el desarrollo de software industrial. Además, muchas de estas vulnerabilidades se han transmitido desde el mundo de TI, por lo que es posible seguir ejemplos de desarrollo para evitar cometer los mismos errores.

Además, como en años anteriores, las vulnerabilidades relacionadas con lecturas fuera de límite y control de acceso incorrecto siguen estando muy presentes, las cuales pueden permitir a un atacante obtener información confidencial o el control del dispositivo de manera remota.

Otro aspecto a considerar al examinar el gráfico sobre la naturaleza de las vulnerabilidades en 2022 es la explotación de vulnerabilidades relacionadas con los servicios web. En la actualidad, muchos dispositivos industriales que están integrados en redes industriales tienen un servidor web mediante el cual ofrecen una interfaz más intuitiva para el operador y permiten realizar acciones que pueden ser importantes para el correcto funcionamiento del proceso en el que el dispositivo esté involucrado.

Fabricantes

El listado de fabricantes más relacionados con los avisos cambia mínimamente con respecto a los años anteriores. Los grandes líderes en productos de Sistemas de Control Industrial siguen siendo los más expuestos y, por tanto, sobre los que más avisos se publican.
Gráfico número de avisos publicados por fabricantes

- Número de avisos publicados por fabricantes. -

En lo que respecta a los primeros puestos, Mitsubishi Electric y Siemens comparten la primera posición con 18 avisos cada uno, con Rockwell Automation en tercera posición, con 14, seguidos muy de cerca por varios fabricantes, siendo un total de 10 los que superan la decena de avisos. Además, muchos de los avisos de INCIBE-CERT agrupan múltiples avisos publicados por los fabricantes de manera individual, por lo que estas cifras recogen más vulnerabilidades de lo que en un principio podría parecer.

También cabe matizar que una gran cantidad de avisos en un fabricante no implica que dicho fabricante sea más vulnerable, sino que puede que estos inviertan más esfuerzo en realizar investigaciones de seguridad o que muchos investigadores independientes tengan acceso a un dispositivo de las múltiples familias que tienen, al ser los más extendidos.

Clasificación por criticidad 

La clasificación de los avisos de 2022, según su criticidad, es muy similar a la presentada en los resúmenes de años anteriores, con la diferencia de que INCIBE-CERT se ha centrado exclusivamente en los avisos de criticidad media, alta y crítica debido, principalmente, a que los avisos de altas criticidades resultan más perjudiciales para las organizaciones. Esto nos vuelve a recordar que hay que reforzar la protección de los sistemas de control, pues las vulnerabilidades que se reportan en ellos pueden suponer un gran trastorno para la empresa y graves consecuencias en el proceso productivo.

Gráfico clasificación de avisos

Clasificación de avisos.-

INCIBE como CNA

Como novedad este año, destacar el papel de INCIBE como CNA en la asignación y publicación de identificadores CVE, donde en 2022, se han coordinado y publicado un total de 23 CVE, de un total de 11 fabricantes.

A su vez, las vulnerabilidades reportadas son de 15 tipos o CWE distintos, siendo las dos más comunes las siguientes:

  • CWE-79: neutralización inadecuada de la entrada durante la generación de la página web (Cross-Site Scripting). 
  • CWE-89: neutralización incorrecta de los elementos especiales utilizados en un comando SQL (inyección SQL).

En lo que respecta a los CVE coordinados, junto a los CNA adheridos a INCIBE Root (ZGR, Ártica PFMS, Alias Robotics y KrakenD), entre los 4 CNA, se han publicado un total de 20 CVE a lo largo del año.

Conclusión

En resumen, el año 2022 ha continuado con la tendencia de años anteriores ya que el número de vulnerabilidades detectadas y de avisos emitidos ha crecido considerablemente. Asimismo, las criticidades de las vulnerabilidades encontradas no han variado mucho y los grandes fabricantes industriales siguen a la cabeza en cuanto a la cantidad de avisos publicados.

De todos modos, el 2022 nos ha dejado ciertos aspectos a considerar y que podrían ser relevantes en el futuro, como que, a pesar de que los grandes fabricantes industriales lideran la publicación de avisos, los pequeños fabricantes empiezan a seguir sus pasos, contando, cada vez más, con este tipo de publicaciones.

El futuro es incierto y es difícil saber que nos deparará el 2023 pero, en el artículo de la próxima semana, trataremos 10 predicciones de seguridad industrial que pueden ayudar a tener una idea sobre cómo se desarrollara la seguridad industrial en el próximo año.