Ciberseguridad en la industria agroalimentaria
Ahora que comienza un nuevo año, nos encontramos en el momento idóneo para revisar la estrategia de protección frente a ciberataques de la organización y estudiar las inversiones que en este sentido puedan resultar más idóneas para afrontar este 2024. En este artículo, queremos llamar la atención del sector sobre los problemas de ciberseguridad más relevantes y compartir algunas impresiones al respecto, con la esperanza de que sean útiles para llevar a cabo este ejercicio con una visión más realista.
El punto de partida de proyectos de digitalización: el análisis de ciberriesgo
2023 ha sido un año desafiante en términos socio-político-económicos. Hemos asistido a una continua alza de los costes de producción y, además, hemos visto cómo la sequía ha provocado una notable reducción de producción de muchos cultivos (como los cereales o las frutas) y serios problemas en ganadería extensiva. Sin embargo, los procesos de automatización y transformación digital de las empresas, plantas de producción y procesado de alimentos han continuado avanzando a un ritmo acelerado. Y es que la carrera tecnológica no se detiene ante recesiones o problemas sociopolíticos o bioclimáticos y continúa su avance constante.
En un mercado global tan altamente competitivo, la digitalización y automatización de los procesos productivos se aprecian como actividades necesarias para garantizar la continuidad del negocio. Como consecuencia lógica, la incorporación de nuevas tecnologías en nuestros procesos amplía lo que denominamos “superficie de ataque”. Es decir, introduce nuevos elementos (sensores, sistemas, sondas, aplicaciones, conectores, etc.) que, por su naturaleza o inmadurez, pueden presentar vulnerabilidades no reconocidas que abren potenciales brechas de seguridad que, si no identificamos y controlamos adecuadamente, podrán ser explotadas fácilmente por los ciberdelincuentes.
En definitiva, cualquier nuevo proyecto de digitalización deberá ir acompañado de su correspondiente análisis de ciberriesgo y del despliegue consecuente de las medidas de protección requeridas tanto por los nuevos elementos introducidos como por los sistemas, plataformas TIC y aplicaciones software en operación que, instalados con anterioridad, se comunicarán con dichos nuevos elementos.
¿El sector agroalimentario está realmente ciberamenazado?
Analizando la situación del sector, podemos reconocer que es un sector realmente expuesto a sufrir ciberataques. Son varios los motivos que avalan esta consideración:
1. Ante todo, debemos considerar que la industria agroalimentaria se identifica como un sector crítico, con peso económico importante aportando un 2,5 % del PIB (en valor añadido bruto VAB) del conjunto de la economía y un 25,4 % del sector manufacturero (fuente: MAPA), lo que la sitúa como el primer sector industrial de la economía española. Solo por ello, ya se encuentra en el punto de mira de los ciberatacantes (tanto hackivistas, como delincuentes con interés económico).
Ya en 2021, varios observatorios de ciberseguridad identificaron los ataques a la cadena de suministro como una de las principales amenazas (Fuente: informe de ENISA. Threat-landscape-2021-2022). Y, por supuesto, sigue siendo así, tal como como lo han demostrado los ataques observados en este año pasado 2023.
2. Es uno de los sectores que actualmente no presenta un nivel alto nivel de ciberprotección y, por tanto, el nivel de impacto y daños causados por ciberataques puede ser elevado; claro reclamo a ciberdelincuentes.
3. El sector se encuentra en un momento de rápidos cambios.
Muchas empresas de la cadena alimentaria, tanto explotaciones agrarias, fábricas de procesado de alimentos o empresas de suministro y distribución, acaban de dar el salto a la digitalización y se encuentran abordando proyectos sustentados por tecnologías y sistemas digitales (proyectos de agricultura o ganadería de precisión, implantación del cuaderno digital de campo, automatización de líneas, robotización de fábricas, digitalización de almacenes, gestión de clientes /proveedores telemática… Son momentos en los que la empresa presenta un plano de exposición mayor a ciertos tipos de ataques que aprovechan debilidades derivadas de las nuevas plataformas no securizadas convenientemente, con posibles configuraciones vulnerables, y que aún no han actualizado o implementado nuevas políticas de seguridad y operación ante ciberataques, consecuencia del desconocimiento por parte de los operarios de los nuevos riesgos que deben considerar cuando trabajen con los nuevos sistemas y herramientas implantadas, etc.
4. En el sector agroalimentario, la incorporación de nueva tecnología amplía los posibles puntos y opciones de ataque a las infraestructuras de la empresa. La siguiente tabla muestra algunos ejemplos de potenciales riesgos asociados a nuevas tecnologías. Es aconsejable realizar un análisis de ciberriesgo, añadiendo nuevas medidas de protección a las ya existentes en la organización.
Exponemos algunos ejemplos:
| Caso de uso | Tecnologías asociadas | Posible vector de ataque |
|---|---|---|
| Agricultura y Ganadería de Precisión | Inteligencia Artificial, IoT. GIS. Robótica. Espectrometría Multicanal. IP CAM,s. Drones. Satélite. Termografía. Medición RFID | Ataques a equipos que almacenan o generan datos. Captación de envío de datos no seguro. (man in the middle). DoS con inhibidores de frecuencia |
| Cuaderno Digital de Campo | Dispositivos personales móviles (tablets/smartphones). WEB Apps | Configuración insuficiente de seguridad y conectividad. Usurpación de Identidad. Vulnerabilidad en aplicaciones |
| Robotización Líneas Producción | Robots, SCADA, PLC´s, HMI´s Plataformas MES | Vulnerabilidades S,O,y PLC´s Configuraciones por defecto de Controladores. Sensores sin seguridad. Políticas de Acceso a consolas de operación HMI |
| Almacenes automatizados | Robot móviles. Robots colaborativos. Plataforma SGA. Plataforma IA. CRM. ERP | Vulnerabilidades PLC´s y HMI. Conexión IT-OT no segura. Ausencia de segmentación redes. Políticas acceso Internet insuficientes |
| Monitorización y telegestión. Herramientas MES y OEE | RIA. Gemelos Digitales. Inteligencia Artificial. Sensorización IIoT | Ataques DDoS. Vulnerabilidades en estaciones de trabajo y Servidores. Configuración insuficiente de seguridad y conectividad. Falta de aislamiento de red OT |
5. Aunque en el sector agroalimentario español se posicionan grandes empresas, es importante tener en cuenta que es un sector formado mayoritariamente por pymes y micropymes. El ciberdelincuente ha encontrado en las pymes un nicho en el que sus ataques obtienen un alto nivel de éxito al no tener que vencer medidas de seguridad complejas y robustas como las que se encuentran desplegadas en las grandes compañías. El resultado: 7 de cada 10 ciberataques en España se dirigieron a pymes (fuente: Datos 101).
En el cuadro siguiente (fuente: VPNAlert.com) se aprecia como las empresas más atacadas en España son las empresas ente 1 y 10 empleados.
| Organisation Size | Bulk Phishing Cyberattacks | Targeted Phising Attacks | Business Email Fraud | Email-Based Ransomware Attacks | SMS Phishing Attacks | Voice Phishing Attacks | Social Media Attacks |
|---|---|---|---|---|---|---|---|
| 0 | 11 % | 26 % | 23 % | 32 % | 43 % | 51 % | 45 % |
| 1-10 | 49 % | 32 % | 33 % | 37 % | 21 % | 22 % | 22 % |
| 11-25 | 17 % | 22 % | 19 % | 8 % | 21 % | 15 % | 12 % |
| 26-50 | 15 % | 5 % | 14 % | 8 % | 5 % | 6 % | 10 % |
| 51-100 | 2 % | 9 % | 4 % | 9 % | 6 % | 2 % | 8 % |
| Over 100 | 6 % | 5 % | 7 % | 5 % | 4 % | 4 % | 3 % |
*Fuente:VpnAlert.com
Situación de las empresas en España en términos de ciberseguridad
La preocupación por la seguridad va calando en las empresas españolas, que parece empiezan a tomar conciencia de la gravedad del problema: el 71 % de las pymes españolas integran la ciberseguridad en su cultura corporativa, como nos muestra el estudio efectuado por SAGE: ”CyberSecurity for smbs: Navigating Complexity and Building Resilience”.
Sin embargo, advertimos que, aunque estamos en el buen camino, las empresas españolas aún no han hecho lo suficiente. Podríamos interpretar que, en muchas de ellas, existe una falsa sensación de seguridad o, sencillamente, no se dispone de los recursos necesarios para abordar el problema tal como exponen ellos siguientes datos:
1. El 32 % de las pymes españolas han sufrido múltiples ataques en los últimos meses. 3 de cada 10 pymes españolas sufren ataque de forma regular (fuente: ituser.es).
2. En el año 2022, el coste medio de los ataques a empresas españolas aumentó en un 42 % según el informe de Hiscox “Ciberpreparación 2023”.
3. Tal como expone el estudio de Google “Panorama actual de la ciberseguridad en España: retos y oportunidades para el sector público y privado”, se estima que el coste anual medio provocado por ciberataques para cada pyme ha sido de 35.000 €, además de generar daños serios reputacionales, llegando a provocar la suspensión de su actividad en 6 de cada 10 pymes atacadas en menos de medio año.
4. El 21 % de las pymes españolas confían su protección únicamente en controles básicos (antivirus) (fuente: ituser.es).
Debemos concluir, a la vista de los datos evaluados, que la ciberseguridad debe ser uno de los objetivos de la estrategia de la empresa para 2024.
Principales amenazas y ciberataques en 2022-2023
Es conveniente valorar las principales amenazas y ciberataques que se han presentado durante el pasado 2023 – caracterizados por ser cada vez más sofisticados y virulentos- para que tengamos una visión de la dimensión del problema.
La siguiente gráfica recogida del último informe de Estado de Ciberseguridad en España emitido por Deloitte correspondientes a 2022, cuya tendencia mantuvo en 2023, muestra Phishing Ransomware y Malware como los principales ataques sufridos en España:
Los ataques tipo Ramsonware y Phishing no solo han sido los más utilizados en 2023, sino que también son los ataques que, considerando el impacto producido, han generado mayores pérdidas en las empresas españolas.
En la siguiente tabla recogemos las tipologías de ataque que, particularmente en ámbitos industriales, han tenido más impacto en 2023:
| Ciberamenaza | Descripción |
|---|---|
| Phishing | Técnicas empleadas para a través de la suplantación de identidad de un tercero de confianza, hacer que se revele información confidencial, inducir a la realización de una acción indebida o hacer conseguir que la víctima haga click en un enlace. |
| Ramsonware | Secuestro de Datos. Ataque que a través de un software dañino, bloquea el acceso a la información de un sistema (normalmente cifrando los contenidos) y pide rescate a cambio de quitar dicho bloqueo. Los más conocidos en el mundo industrial son el ransmoware Conti y el LockBit 2.0. |
| Denegación de Servicio DoS | Ataque capaz de reducir o anular la capacidad de servidores o recursos informáticos que ofrecen un servicio (bloqueo de acceso, comunicaciones…). |
| Explotación de vulnerabilidades | Ataque basado en aprovechar algún fallo de la tecnología para posteriormente poder realizar acciones más peligrosas. |
| Ataque de Fuerza Bruta | Ataques para poder conseguir las credenciales existentes o los datos cifrados utilizando el método de prueba y error. |
¿Qué nos aguarda este 2024 en materia de ciberataques y ciberseguridad?
La perspectiva para este nuevo año no ha mejorado. Año tras año, asistimos a un crecimiento del número de ataques. Además, estos cada vez son más sofisticados. Desgraciadamente, el avance de la tecnología también favorece a los ciberdelincuentes poniendo a su disposición herramientas y técnicas muy avanzadas.
En 2024, se prevé que continúe la evolución de los ataques ransomware, que ya en este año vimos que emplearon nuevas técnicas de exploit de vulnerabilidades, y previsiblemente cambiarán de enfoque y pasarán de cifrar datos pidiendo rescate para su desencriptado a, además, robar datos para difusiones a terceros.
Debemos prestar especial atención no solo a los nuevos riesgos que nos traerá la incorporación de nuevas herramientas de IA (Inteligencia Artificial) en nuestro entorno corporativo, y que sin duda requerirán de un minucioso análisis de vulnerabilidades, sino también a los usos indebidos que los ciberdelincuentes puedan hacer de ella. Particularmente, deberemos prepararnos para protegernos de amenazas que se prevén de “alta intensidad” derivadas del uso de la IA generativa utilizada para la elaboración de documentos y correos de Phishing o para el desarrollo de código malicioso (malware) desarrollado con una velocidad y virulencia nunca vista anteriormente. Igualmente, la IA hará que proliferen las técnicas de ataque basadas en deepfake (usurpación de identidad en imágenes, vídeos y conferencias en real time), convirtiendo las redes sociales y las videoconferencias, ya integradas en nuestras actividades empresariales, en nuevos vectores de ataque.
En definitiva, en 2024 se prevé un crecimiento mayor y más diverso de los ciberataques, situación que forzará tanto a implantar nuevas medidas y tecnologías de protección como a desarrollar y aplicar nuevas regulaciones, normativas y políticas para mantener niveles de seguridad aceptables.
Entonces… ¿cómo puedo proteger mi empresa?
Como comentamos, para protegerse de estas amenazas, debemos ser conscientes de los niveles de riesgo, atendiendo a la actividad y estructura de negocio de cada empresa. La dinámica de los ataques es altamente cambiante; por ello, es muy importante que las compañías realicen evaluaciones de ciberriesgos periódicas.
Tenemos muchos medios a nuestro alcance para reducir el nivel de riesgo a niveles aceptables. Disponemos, a día de hoy, de tecnologías muy avanzadas basadas en inteligencia artificial y aprendizaje automático con una gran precisión en la detección de amenazas temprana con capacidad para detectar y responder eficazmente ante ciberataques. El mercado nos ofrece un sinfín de tecnologías y herramientas que podremos desplegar de forma independiente, colaborativa o integrada funcionando en nuestras instalaciones o desde los entornos cloud. Hablamos de tecnología y soluciones muy diversas que complementan la protección que ya aportan los antivirus instalados en puestos de trabajo y servidores junto a los firewalls instalados de la red corporativa. Muchas de ellas (SIEM, UEBA, ERT, DLP`s, NG IDP, Theat Hunting, entre otras) ya basan su operación en motores de IA (tecnología clave para el desarrollo de estrategias de Ciberseguridad de los próximos años). Previsiblemente surgirán nuevas plataformas de protección en modalidad suscripción por uso SaaS ofrecidas desde la nube a precios ajustados, poniendo a disposición de las pymes servicios de ciberseguridad avanzada actualmente solo al alcance de las grandes corporaciones.
Dada la alta complejidad y rápida evolución de la tecnología asociada a Ciberseguridad, las empresas especializadas en este ámbito jugarán un papel importante, facilitando servicios de Cibervigilancia, respuesta ante incidentes y análisis forense planteados desde sus instalaciones SOC (Security Operation Center). Igualmente, resultará muy aconsejable confiar en los servicios de apoyo de estos proveedores de servicios especializados de Ciberseguridad para la realización de consultorías y auditorías de seguridad sobre cada activo y proceso de la organización y definir la mejor solución de protección de forma proporcionada y suficiente.
También se espera que las empresas de seguros desarrollen productos más ajustados a las necesidades y posibilidades de las empresas, planteando propuestas de ciberseguros asumibles que podrán incorporarse a los planes de riesgo y continuidad de negocio como cualquier otro seguro contratado habitualmente por la empresa.
Para protegernos de ciberataques, empecemos por el principio…
Mientras la empresa planifica su estrategia de seguridad, proponemos empezar por revisar, adoptar y asegurar ciertas medidas que posiblemente estén al alcance de todas las empresas.
Estas simples medidas pueden parecer obvias, pero en el análisis efectuado en numerosas organizaciones a las que hemos tenido acceso no se encuentran aplicadas correctamente o en su totalidad. Su revisión ayudará a reducir el riesgo de la mayor parte de las amenazas a las que las empresas se exponen.
Recordemos que la mejor practica en un plan de Ciberseguridad es adoptar medidas preventivas. Proponemos revisar este conjunto de acciones, consideradas fundamentales en toda empresa:
1. Formar a empleados. Los empleados deben conocer y poner en práctica una serie de normas y protocolos de seguridad respecto al uso de ordenadores, correos electrónicos, bases de datos, aplicaciones, acceso remoto, etc. La formación debe ser continua para que estén siempre alerta ante posibles amenazas cibernéticas.
2. Utilizar autenticación multifactor. La autenticación multifactor es una técnica de seguridad que requiere que el usuario proporcione dos o más formas de identificación para acceder a un sistema. Esto puede incluir una contraseña, un código de acceso temporal, una huella dactilar, etc.
3. Realizar copias de seguridad de manera regular. Las copias de seguridad son una forma efectiva de proteger los datos de la empresa en caso de un ataque cibernético. Es importante que se realicen de manera regular y que se almacenen en un lugar seguro.
4. Crear controles internos sólidos. Los controles internos son medidas que se implementan para garantizar que los procesos de la empresa sean seguros y eficientes. Esto puede incluir la implementación de políticas de seguridad, la revisión de los sistemas de seguridad, la realización de auditorías internas, etc.
5. Responsabilidades de seguridad de terceros. Si la empresa trabaja con terceros, es importante que se establezcan responsabilidades claras en cuanto a la seguridad de los datos. Esto puede incluir la firma de acuerdos de confidencialidad, la implementación de medidas de seguridad adicionales, etc.
6. Mantener los sistemas actualizados. Es importante que los sistemas de la empresa estén actualizados con los últimos parches de seguridad y actualizaciones de software. Esto puede ayudar a prevenir vulnerabilidades conocidas que los ciberdelincuentes pueden explotar.
7. Instalar un antivirus en cada equipo. Los antivirus son herramientas de seguridad necesarias no solo en los puestos de trabajo tipo PC. No descuidemos los servidores corporativos o los dispositivos móviles smartphones y tablets.
8. Instalar un firewall de última generación. Los firewalls son equipos de seguridad esenciales que pueden ayudar a proteger los equipos de la empresa contra malware y muchos tipos de ciberataques a través de add on`s de seguridad que complementan la función tradicional del cortafuegos.
Conclusión: la mejor defensa es invertir en ciberseguridad y adoptar mejores prácticas empresariales
La industria agroalimentaria en España se enfrenta a una creciente amenaza cibernética que no debe ser subestimada.
La inversión en ciberseguridad y la adopción de mejores prácticas son esenciales para proteger los procesos de producción, la integridad de los datos y la reputación de las empresas en este sector crítico.
La hiperconexión de los entornos productivos y corporativos, el telecontrol y la telegestión, la digitalización de los procesos de negocio o la introducción de plataformas de IA y de nuevas plataformas para automatización de la fábrica conforman proyectos que deben ir acompañados de un proceso paralelo de gestión de la seguridad. No olvidemos que cada nuevo sistema que introduzcamos en nuestro entorno corporativo puede conllevar nuevos riesgos y ruptura de la seguridad.
La colaboración con expertos en ciberseguridad ayudará a las empresas a la implantación de medidas adecuadas a las necesidades reales de cada compañía y al seguimiento de las tendencias emergentes en amenazas cibernéticas, evaluando en cada momento el riesgo que suponen.
Consideremos, además de la renovación de los sistemas de protección de la empresa, contar con servicios de vigilancia y respuesta ante incidentes de terceras empresas especializadas, así como la contratación de un ciberseguro adecuado.
El objetivo, como siempre, será mantenerse un paso adelante de los ciberdelincuentes.
 | José Manuel Fresno. Director UN Digitalización en artica+i. Especialista en Sistemas y Ciberseguridad- CISA y CISM (ISACA), con más de 30 años de experiencia en el sector TIC. |
¿Necesitas definir, revisar o hacer seguimiento de tu Estrategia de Seguridad?
Desde artica+i, podemos ayudarte a identificar los puntos más vulnerables de tu organización y a plantear soluciones acordes al valor real de tus activos.
