La reparación de vulnerabilidades SCADA se prolonga durante 5 meses

¿Cómo de seguros son los sistemas SCADA? ¿Cuáles son las vulnerabilidades más comunes? ¿Y cómo se les está poniendo solución?

La compañía de seguridad Trend Micro explica que los ciberdelincuentes pueden acceder a los sistemas SCADA “para recopilar información como el diseño de una instalación, umbrales críticos o ajustes y configuraciones de dispositivos” y luego utilizar todos estos datos en otros ataques. “El sabotaje, incluyendo la interrupción de los servicios o la posibilidad de desencadenar situaciones peligrosas, e incluso letales que implican a materiales inflamables o recursos críticos, representan un extremo indeseable”, añade.

Estos sistemas son atractivos para el cibercrimen porque ejecutan infraestructuras críticas.

En este sentido, una de las formas que tienen de infiltrarse es con la explotación de vulnerabilidades HMI. Esto es, aquellas vinculadas con la Interfaz de Máquina Humana. Tras revisar todas las vulnerabilidades que se han ido reparando en el software SCADA entre 2015 y 2016, el equipo Trend Micro Zero Day Initiative concluye que un 23,36 % tiene que ver con la falta de autenticación o autorización o la inseguridad por defecto. Por ejemplo, con la transmisión sin cifrar de información confidencial. Un 20,44 % está relacionado con problemas de corrupción de memoria y un 18,98 % viene de la gestión de credenciales.

También cabe destacar que los errores de inyección de código están detrás del 8,76 % de las vulnerabilidades identificadas. Ya sean inyecciones SQL, específicas de dominio o de otro tipo.

Cabe destacar que todos estos problemas se podrían evitar si se aplican prácticas seguras de desarrollo.

En cuanto al tiempo que lleva la reparación, Trend Micro desvela que de media pasan 150 días desde que se revela un error al fabricante y se lanza un parche. Esto son unos cinco meses. Y también son “30 días más de lo que requeriría un software ampliamente desplegado, como los de Microsoft o Adobe, pero significativamente menor que las ofertas de empresas como Hewlett Packard Enterprise (HPE) e IBM”, destaca la firma de seguridad.

Eso sí, todo depende del proveedor. Algunos ofrecen la solución al cabo de una semana y otros tardan incluso más, hasta 200 días.