Categories: Gestión de la seguridadSeguridad

La reparación de vulnerabilidades SCADA se prolonga durante 5 meses

¿Cómo de seguros son los sistemas SCADA? ¿Cuáles son las vulnerabilidades más comunes? ¿Y cómo se les está poniendo solución?

La compañía de seguridad Trend Micro explica que los ciberdelincuentes pueden acceder a los sistemas SCADA “para recopilar información como el diseño de una instalación, umbrales críticos o ajustes y configuraciones de dispositivos” y luego utilizar todos estos datos en otros ataques. “El sabotaje, incluyendo la interrupción de los servicios o la posibilidad de desencadenar situaciones peligrosas, e incluso letales que implican a materiales inflamables o recursos críticos, representan un extremo indeseable”, añade.

Estos sistemas son atractivos para el cibercrimen porque ejecutan infraestructuras críticas.

En este sentido, una de las formas que tienen de infiltrarse es con la explotación de vulnerabilidades HMI. Esto es, aquellas vinculadas con la Interfaz de Máquina Humana. Tras revisar todas las vulnerabilidades que se han ido reparando en el software SCADA entre 2015 y 2016, el equipo Trend Micro Zero Day Initiative concluye que un 23,36 % tiene que ver con la falta de autenticación o autorización o la inseguridad por defecto. Por ejemplo, con la transmisión sin cifrar de información confidencial. Un 20,44 % está relacionado con problemas de corrupción de memoria y un 18,98 % viene de la gestión de credenciales.

También cabe destacar que los errores de inyección de código están detrás del 8,76 % de las vulnerabilidades identificadas. Ya sean inyecciones SQL, específicas de dominio o de otro tipo.

Cabe destacar que todos estos problemas se podrían evitar si se aplican prácticas seguras de desarrollo.

En cuanto al tiempo que lleva la reparación, Trend Micro desvela que de media pasan 150 días desde que se revela un error al fabricante y se lanza un parche. Esto son unos cinco meses. Y también son “30 días más de lo que requeriría un software ampliamente desplegado, como los de Microsoft o Adobe, pero significativamente menor que las ofertas de empresas como Hewlett Packard Enterprise (HPE) e IBM”, destaca la firma de seguridad.

Eso sí, todo depende del proveedor. Algunos ofrecen la solución al cabo de una semana y otros tardan incluso más, hasta 200 días.

Lea también : 1 de cada 2 españoles cambia sus contraseñas de forma periódica

Mónica Tilves

Licenciada en Xornalismo por la Universidad de Santiago de Compostela en la especialidad de Periodismo Electrónico y Multimedia. Apasionada de los gadgets, la fotografía digital, el diseño web y el arte. Tras un primer contacto con el mundo de la prensa escrita y con la suficiencia investigadora debajo del brazo, me decanto por los medios online. Cubro la actualidad informativa en Silicon Week desde 2011, además de colaborar en otras publicaciones del grupo NetMediaEurope en España como Silicon News. Ahora en Silicon.es.