La manufactura es el sector más atacado por ciberdelincuentes. Por qué es vital aumentar la seguridad

La fuerte digitalización del sector manufacturero está produciendo un aumento del crecimiento, la eficiencia y la rentabilidad. Sin embargo, este impulso también ha expuesto al sector a agentes maliciosos que buscan explotar las vulnerabilidades mediante enfoques sofisticados.

Por segundo año consecutivo, la industria manufacturera ha sido el sector más atacado por los ciberataques. Solo a lo largo de 2022, los ataques de ransomware a infraestructuras industriales se duplicaron, con un potencial impacto sistémico en las entregas de suministros. Los ciberataques pueden interrumpir las empresas y las cadenas de suministro, contrarrestando los beneficios de la digitalización y provocando pérdidas financieras y de productividad que causan daños a la reputación.

El sector manufacturero engloba varias industrias esenciales para la sociedad. Contribuye a las economías circulares mundiales, como las de bienes de consumo, electrónica, automoción, energía, farmacia, alimentación y bebidas, industria pesada y petróleo y gas.

En el ecosistema manufacturero, las instalaciones de producción están repartidas por todo el mundo y cada productor es también un consumidor y viceversa. Por lo tanto, un ciberataque contra una empresa puede tener efectos dominó en todo el ecosistema, con costosas consecuencias.

Los riesgos resultantes son sistémicos, contagiosos y a menudo escapan a la comprensión o el control de una sola entidad. Según un nuevo informe, el 98% de las organizaciones tienen una relación con un tercero que ha sufrido una violación. En comparación, más del 50% tienen una relación indirecta, con más de 200 cuartas partes que han sufrido violaciones. Un ejemplo reciente es el ataque de ransomware a un gran proveedor de la industria de semiconductores, que al parecer costó 250 millones de dólares en el siguiente trimestre.

La escalada de tecnologías avanzadas, como el internet industrial de las cosas (IoT) y la automatización, y el aumento de la digitalización y la conectividad que están teniendo lugar con la cuarta revolución industrial, han mejorado enormemente la eficiencia y la productividad de las empresas manufactureras a nivel mundial.

Sin embargo, este progreso también ha expuesto al ecosistema manufacturero a los ciberataques. Teniendo en cuenta el ritmo actual de ciberataques que afectan al sector y dado que se prevé que la ciberdelincuencia sea uno de los principales riesgos mundiales en los próximos dos a diez años, los fabricantes deben dar prioridad a la ciberseguridad a medio y largo plazo.

Según la investigación, las cinco principales amenazas del sector son los ataques de phishing, el ransomware, el robo de propiedad intelectual (PI), los ataques a la cadena de suministro y los ataques al IoT industrial. Un informe reciente también ha revelado que, en 2022, las víctimas del sector manufacturero representaron el 30% de los incidentes que acabaron en extorsión.

Las empresas manufactureras son un objetivo lucrativo y accesible para el ransomware debido a su escasa tolerancia al tiempo de inactividad y al nivel relativamente bajo de madurez cibernética en comparación con otros sectores. Además, las industrias manufactureras a menudo se retrasan en la inversión en ciberresiliencia debido a los ciclos de producción prolongados y las fuertes inversiones necesarias para rediseñar las líneas de fabricación.

En 2022, un grupo de ransomware como servicio llamado Lockbit representó el mayor número de ataques de ransomware dirigidos a organizaciones e infraestructuras industriales.

Algunos ejemplos anteriores de ataques de ransomware contra empresas manufactureras incluyen el ransomware WannaCry de 2017, que afectó a más de 100 países y detuvo la producción de un importante fabricante de automóviles. El ransomware a gran escala de 2019 tuvo como objetivo un fabricante de componentes aeronáuticos que paralizó la producción en fábricas de cuatro países. Mientras tanto, el ransomware LockerGoga, que afectó a un gran fabricante de aluminio en Noruega en marzo de 2019.

Más recientemente, en la primavera de 2022, las agencias gubernamentales estadounidenses advirtieron de la existencia de programas maliciosos personalizados dirigidos a sistemas de control industrial (ICS) y dispositivos de control de supervisión y adquisición de datos (SCADA).

Las empresas de ciberseguridad han atribuido el malware a un actor patrocinado por el Estado con el objetivo de acceder, manipular e interrumpir los entornos y procesos de OT. Este malware, apodado "pipedream", representa una preocupación real para el sector manufacturero debido a su capacidad para atacar equipos industriales específicos integrados en diferentes tipos de maquinaria utilizados en múltiples industrias.

El sector manufacturero debe prepararse contra el creciente panorama de amenazas aumentando su ciberresiliencia para cosechar los beneficios de la digitalización.

Uno de los principales problemas del sector manufacturero es la fragmentación de la gestión de las cuestiones relacionadas con la ciberseguridad. En la Unión Europea se está debatiendo una nueva propuesta legislativa, la Cyber Resilience Act, para introducir los requisitos obligatorios de ciberseguridad para los productos de hardware y software durante todo su ciclo de vida.

Además, las nuevas directivas NIS 2 y Resiliencia de Entidades Críticas (CER) clasifican a determinadas industrias manufactureras como importantes o "entidades esenciales", exigiéndoles que gestionen sus riesgos de seguridad y eviten o minimicen el impacto de los incidentes en los destinatarios de sus servicios.

En Estados Unidos se han impuesto varias normativas federales a sectores específicos como el agua, el transporte y las tuberías, y recientemente se ha publicado una estrategia nacional de ciberseguridad.

La norma IEC 62443 de la Comisión Electrotécnica Internacional es considerada por muchos la principal norma de ciberseguridad para sistemas de control industrial, pero es compleja. Actualmente incluye nueve normas, informes técnicos y especificaciones técnicas.

El Instituto Nacional de Normas y Tecnología del gobierno estadounidense estableció un marco de ciberseguridad para infraestructuras críticas, que actualmente se está actualizando y desarrollando detalles de aplicación para el entorno de fabricación. Para apoyar a la industria, el SANS Institute, centro líder en formación e investigación sobre ciberseguridad, destacó cinco controles críticos de ciberseguridad de ICS.

Sin embargo, no existe un "patrón oro de la ciberseguridad" global para la manufactura de los distintos sectores y países que tenga en cuenta las interdependencias del sector y establezca los requisitos de seguridad más allá de los marcos y normas informáticas existentes.

El Foro Económico Mundial está convocando a las partes interesadas del ecosistema del sector manufacturero, incluidos el sector público y el mundo académico, para reforzar la ciberresiliencia en todo el ecosistema de manufactura industrial mediante la concienciación de los responsables de la toma de decisiones y la movilización del compromiso mundial. Esta nueva iniciativa definirá los principios rectores y las prácticas clave para la responsabilidad colectiva en todo el ecosistema de fabricación, basándose en cinco pilares de ciberresiliencia:

Abordar el riesgo de ciberseguridad en el sector manufacturero de esta manera tendrá beneficios que irán mucho más allá del sector.