OpiniónSeguridad

La industria agroalimentaria, la gran olvidada ante unos ciberataques muy sofisticados y selectivos

Borja Pérez, Country Manager de Stormshield Iberia.

En los últimos meses han surgido muchas voces alertando sobre un aumento de los incidentes de seguridad dirigidos contra la industria agroalimentaria. Y no es de extrañar, puesto que el uso de herramientas conectadas en el sector agrícola moderno está creciendo rápidamente.

Efectivamente, a tecnologías como sensores higrométricos, balizas GPS o tractores inteligentes, capaces de controlar la producción de las granjas inteligentes con los datos recogidos por diferentes herramientas, se unen las utilizadas por los grupos agroalimentarios, cuyas líneas de producción y de procesamiento están ahora automatizadas y comparten datos sensibles dentro de la empresa. A estas, hay que sumar también diversos dispositivos operativos y que, pese a encontrarse en línea, a menudo no se declaran o, peor aún, no se controlan. Por tanto, es comprensible que con tantos equipos conectados la ciberseguridad se haya convertido en una cuestión crítica.

No obstante, y aunque los ciberataques a la industria agroalimentaria son una realidad que viene produciéndose desde hace varios años, 2021 fue un periodo especialmente profuso en cuanto a embestidas contra organizaciones de este sector, como los dirigidos contra las francesas Lactalis y Laurent Perrier, las estadounidenses Molson Coors, New Cooperative, Americold o el grupo agroalimentario brasileño JBS Foods, por citar algunos. A destacar que, esta última, admitió haber efectuado un rescate de 11 millones de dólares para recuperar el acceso a sus datos, tras ser víctima de un ataque de ransomware.

En cuanto al potencial de las amenazas, hay que prestar especial atención a los ataques dirigidos contra SolarWinds y Kaseya, proveedores de servicios TI gestionados, y que terminaron afectando a empresas que utilizan su software de Gestión y Monitorización Remota (RMM, por sus siglas en inglés) como fue el caso de las 800 tiendas de alimentación de la cadena sueca Coop. En total, no menos de 130 proveedores de servicios informáticos de la empresa se vieron aparentemente afectados por el ciberataque contra el RMM de Kaseya.

Un problema de fondo

Ante el ritmo de estos ataques, los expertos alertan sobre el peligro que supone no establecer medidas de contención adecuadas, además de exponer diferentes tácticas y procedimientos que pueden ayudar a las organizaciones de este sector a conocer el alcance de un problema que no deja de crecer.

Entre estas indicaciones, destacan las realizadas en julio de 2020 por la Agencia Nacional de Seguridad (NSA) y por la Agencia de Ciberseguridad y Seguridad de las Infraestructuras (CISA) de Estados Unidos alertando a las industrias de interés vital (incluida la agroalimentaria) sobre la "necesidad inmediata de reducir la exposición a las herramientas de gestión remota" que podrían tener un "impacto muy grave en las infraestructuras críticas" .

Esta advertencia incide en particular en todos los equipos operativos (EO) de antigua generación, y, en concreto, en los sistemas de control ICS/SCADA, los más utilizados en las plantas de procesamiento de alimentos y que, por tanto, deben ser protegidos. En el mismo informe, se enumeran también una serie de tácticas y procedimientos de ataque, como el uso de técnicas de spear phishing para obtener acceso ilícito a la red tradicional de la empresa (IT) y luego infiltrarse en la red de producción de la empresa (OT); conexión a los PLCs conectados a Internet sin autenticación previa a través de los puertos y protocolos estándar de la industria; y alteración del mecanismo de actualización del editor de software. Todo ello con el objetivo de desplegar malware (por ejemplo, en forma de ransomware en ambas redes, con el fin de paralizar la herramienta de producción cifrando los datos de la empresa).

Este documento es importante también porque señala un cambio en las metodologías de los atacantes, más allá de los meros lanzamientos aleatorios y programados. El resultado: ciberataques más sofisticados, selectivos y enrevesados.

Por otro lado, algunos expertos británicos han expresado públicamente su alarma por la vulnerabilidad de la cadena agroalimentaria del país, que solo es autosuficiente en un 50% en la producción de alimentos, y por tanto dependiente de las importaciones. En este sentido alertan de que un ciberataque dirigido a un solo eslabón de la cadena de suministro podría alterar todo el sector, con consecuencias de gran alcance.

Y es probable que los ciberataques contra la industria agroalimentaria cambien en los próximos meses y años. El objetivo: las numerosas herramientas conectadas que la agricultura utiliza cada vez más, al igual que cualquier otra empresa tecnológica. Durante la conferencia DEFCON 29, un experto en ciberseguridad demostró la capacidad de tomar el control a distancia de un tractor John Deere. Un acto de este tipo es todavía una simple demostración, pero abre la puerta a nuevos incidentes de seguridad en el futuro...

Tras este tipo de ciberataques, parecen posibles varias consecuencias para el futuro del sector agroalimentario. Quizás la más importante sea la interferencia económica. Al inutilizar la producción o la distribución de alimentos, sería posible crear una escasez que condujera a un aumento de los precios (y, en un caso extremo, a una grave carestía de alimentos). Y aunque este escenario pueda parecer extraído de una película de suspense, el impacto del calentamiento global podría amplificar (aún más) las consecuencias de tales ataques. Según las predicciones de los expertos de la NASA y del FIDA (Fondo Internacional de Desarrollo Agrícola), podemos esperar que el cambio climático afecte a productos básicos esenciales como el trigo, el maíz y el arroz, con rendimientos y producción que disminuirán drásticamente para 2030.

Una respuesta en el presente

La súbita aceleración de los ciberataques a la industria agroalimentaria sugiere que es posible que se produzca una crisis sistémica. Por ello, es imperativo que las empresas agrícolas y agroalimentarias (grandes y pequeñas) tomen conciencia del fenómeno y de lo que está en juego, y reciban apoyo para mejorar su ciberseguridad.

Parte de la respuesta está en la segmentación de la red y en las tecnologías Intrusion Prevention System (IPS) y Endpoint Detection and Response (EDR), que forman parte de los mecanismos de protección de la ciberseguridad de varias empresas agroalimentarias críticas. A su vez, EDR identificará comportamientos anormales o maliciosos en las máquinas, como la escalada de privilegios o la instalación de malware, y combinados con la segmentación de la red y el IPS, proporcionarán una protección eficaz contra los intentos de descubrimiento y movimiento lateral.

Computing 815