site-logo
site-logo
site-logo

Asegurando las operaciones remotas de petróleo y gas contra amenazas complejas

Inicio

Blogs

Asegurando las operaciones remotas de petróleo y gas contra amenazas complejas

Asegurando las operaciones remotas de petróleo y gas contra amenazas complejas

operaciones remotas de petróleo y gas
Shieldworkz-logo

Prayukth KV

Protegiendo las operaciones remotas de Petróleo y Gas de amenazas complejas

Como parte del Mes de Concientización sobre Ciberseguridad, estamos realizando un análisis profundo sobre la estrategia de seguridad OT y medidas para infraestructuras críticas. En la serie de hoy, al concluir, examinamos las medidas de ciberseguridad que recomendamos para proteger las operaciones remotas de petróleo y gas.  Puedes acceder a las publicaciones anteriores de esta serie aquí.

En las vastas y aisladas extensiones donde las instalaciones remotas de petróleo y gas suelen operar, desde plataformas offshore hasta estaciones compresoras de tuberías en el desierto, actualmente se está librando una batalla de alto riesgo no tan silenciosa. Estas instalaciones se encuentran en el corazón de nuestra infraestructura energética, pero su aislamiento y la creciente dependencia de la tecnología conectada como IoT, junto con su importancia estratégica para las economías nacionales, las convierten en un objetivo principal. Aunque el primer caso probado de un ciberataque a un operador de petróleo y gas ocurrió hace casi 4 décadas, las cosas no han cambiado mucho en el campo en términos de medidas de ciberseguridad mientras que los riesgos cibernéticos asociados con las operaciones de petróleo y gas se han multiplicado exponencialmente.

La convergencia de la Tecnología de la Información (TI) y la Tecnología Operativa (OT) ha disuelto más o menos la brecha de aire mítica que una vez protegió los controles industriales críticos. Hoy en día, un actor de amenazas puede interrumpir una tubería o dañar una plataforma desde medio mundo de distancia. El hecho de que actores respaldados por estados estén utilizando ciberataques en infraestructuras críticas como parte de su estrategia de guerra híbrida y operaciones psicológicas nos da una idea de lo que está en juego.

Para la industria de petróleo y gas (O&G), la Tecnología Operativa—el hardware y software que monitoriza y controla procesos físicos como la presión de perforación, el flujo de tuberías y los cierres de emergencia, es donde el riesgo cibernético se traduce en un riesgo físico. Una brecha aquí no se trata solo de datos; se trata de seguridad, integridad ambiental y seguridad económica y nacional.

Antes de profundizar más, no olvides leer nuestra publicación anterior sobre TS 50701 y seguridad ferroviaria aquí.

Las amenazas emergentes se están expandiendo en profundidad y amplitud

El panorama de amenazas para las instalaciones remotas de petróleo y gas está evolucionando rápidamente. Los atacantes ya no son solo hackers oportunistas o personas aburridas en sótanos. En cambio, son grupos sofisticados, bien financiados y a menudo respaldados por estados con metas específicas y destructivas. En los últimos 5 años, hemos tenido actores de amenazas trabajando mano a mano con especuladores de productos básicos para influir en los precios del petróleo también. Solo piensa en eso por un segundo; un especulador que se entera de un evento similar al de Colonial Pipeline con antelación puede planificar sus posiciones en consecuencia y hacer una fortuna mientras los ciudadanos sufren de bombas vacías o precios inflados y, en su mayoría, ambos.

Entonces, ¿cuáles son las amenazas específicas de las que estamos hablando aquí?

  • Malware con tiempo de permanencia/espera alto: Este es el tipo de malware que ayuda a los actores de amenazas a acampar (virtualmente) dentro de una red de petróleo y gas objetivo. A lo largo del tiempo, mientras la intrusión pasa desapercibida, el vector comienza a atacar más activos y datos mientras espera una señal del operador para desatar un caos mucho mayor. Sí, las barcazas pueden ser inclinadas y las plataformas desestabilizadas desde dentro.

  • Ransomware de alto impacto: Esta es la amenaza número uno. Los grupos ahora apuntan específicamente a la infraestructura crítica (incluyendo respaldos), sabiendo que el tiempo de inactividad operativo es catastrófico. Informes recientes muestran un aumento masivo en los ataques de ransomware contra sectores críticos. Para una instalación remota, esto podría significar una pérdida total de control sobre las operaciones, obligando a un cierre total.

  • Campañas estatales: Actores de grupos como Volt Typhoon se están incrustando en redes críticas, incluidas O&G, utilizando tácticas de "living off the land". Evitan la seguridad tradicional utilizando las herramientas del sistema para fines maliciosos. Su objetivo no es un pago rápido sino espionaje a largo plazo o la capacidad de causar disrupción en el momento que elijan. Ni siquiera hemos tenido en cuenta a los afiliados de estos grupos, que podrían ser potencialmente aún más destructivos. Dichos afiliados pueden transmitir datos robados 5 veces en todo el mundo antes de que se cambien las contraseñas o que el operador de petróleo y gas afectado modifique las configuraciones de red.

  • Explotación de acceso remoto: El mismo acceso remoto (mientras se utilizan VPNs, RDPs, etc.) que permite una gestión eficiente fuera del sitio es un punto de entrada principal para los atacantes. Credenciales débiles o robadas son todo lo que se necesita para obtener una base sólida.

  • Compromiso de la cadena de suministro y la nube: Ninguna instalación es una isla. Un sensor comprometido de un proveedor de terceros o una vulnerabilidad en una plataforma de mantenimiento basada en la nube puede proporcionar una "puerta trasera" a las redes más seguras.

  • Amenazas internas: Un empleado o contratista descontento en un sitio remoto y de alto estrés con acceso privilegiado a los sistemas de control representa un riesgo significativo e impredecible.

Cuando lo digital colapsa, lo físico se rompe

Las consecuencias de un ciberataque OT son severas y tangibles, extendiéndose mucho más allá de la pérdida financiera.

  • Disrupción operativa: El incidente del Colonial Pipeline sigue siendo el ejemplo más claro. Un ataque de ransomware a los sistemas de TI obligó a la compañía a cerrar proactivamente su infraestructura operativa completa, la más grande en EE. UU., provocando escasez de combustible en toda la costa este.

  • Catástrofe de seguridad y ambiental: Este es el escenario de pesadilla. Un atacante podría manipular los sistemas de seguridad instrumentada (SIS), anular advertencias de presión o temperatura, y desencadenar un incendio, explosión o derrame de petróleo catastrófico. El potencial de pérdida de vidas y daños ambientales irreversibles es real. ¿Recuerdas el derrame de petróleo en el golfo de los años 90?

  • Robo de propiedad intelectual: Los atacantes pueden robar datos sensibles de reservorios, técnicas de perforación patentadas o fórmulas de procesos de refinación, erosionando la ventaja competitiva de una empresa. Además, los datos de producción de petróleo tienen compradores que están dispuestos a pagar una fortuna para obtener acceso anticipado a datos que se pueden monetizar en el mundo real a través del comercio de productos básicos. Una vez que el comerciante haga una fortuna, los datos pueden ser transferidos a otros personajes en la cadena. Todos ellos pueden finalmente acabar de vacaciones en un paraíso tropical mientras el actor de amenazas planea su próximo movimiento. 

  • Sabotaje de equipos: Se pueden enviar comandos maliciosos al equipo físico, llevándolo más allá de sus límites operativos. Esto puede causar daños permanentes a turbinas, taladros y compresores, lo que lleva a costos de reemplazo de millones y prolongados tiempos de inactividad. Incluso un día de demora en la producción puede llevar a una serie de efectos en cascada.

Conformidad y gobernanza

En respuesta a tales riesgos, los reguladores ya no están haciendo que la ciberseguridad sea opcional. Para los operadores de petróleo y gas, particularmente en EE. UU. y la UE, el cumplimiento con un cuerpo creciente de mandatos es una necesidad legal y operativa. Aquí hay algunos de los mandatos que las empresas de petróleo y gas deben adherirse:

  • Directivas de seguridad de la TSA: Tras el ataque al Colonial Pipeline, la Administración de Seguridad en el Transporte (TSA) emitió directivas de seguridad vinculantes para propietarios y operadores de oleoductos. Los requisitos clave incluyen:

    • Informes: Exigir la notificación de incidentes significativos de ciberseguridad a CISA dentro de las 24 horas.

    • Coordinador: Nombrar un Coordinador de Ciberseguridad disponible 24/7.

    • Evaluación: Realizar una evaluación anual de vulnerabilidad de ciberseguridad.

    • Plan de Respuesta: Desarrollar y mantener un Plan de Respuesta a Incidentes de Ciberseguridad integral.

    • Mitigación: Implementar controles específicos, incluyendo la segmentación de la red entre sistemas de TI y OT y un control de acceso robusto.

  • ISA/IEC 62443: Este es el estándar internacional de oro para asegurar Sistemas de Automatización y Control Industrial (IACS). Proporciona un marco basado en riesgos para que los propietarios de activos:

    • Segmentar redes: Implementar "Zonas" (agrupando activos con necesidades de seguridad comunes, como todos los PLC en una plataforma) y "Conductos" (asegurando los canales de comunicación entre zonas).

    • Definir Niveles de Seguridad (SLs): Determinar el nivel requerido de seguridad (de SL 1 a SL 4) para proteger contra capacidades específicas de actores de amenazas, desde hackers casuales hasta estados nación.

  • Marco de Ciberseguridad NIST (CSF): El CSF de NIST proporciona un marco estratégico de alto nivel (Gobernar, Identificar, Proteger, Detectar, Responder, Recuperar) que ayuda a las organizaciones a gestionar el riesgo cibernético. A menudo se complementa con NIST SP 800-82 (Guía de Seguridad OT), que ofrece orientación técnica específica para sistemas de control industrial.

  • NIS2: Se aplica a un conjunto de empresas de petróleo y gas que operan dentro de la Unión Europea.

Una hoja de ruta de seguridad para la resiliencia en el sector de petróleo y gas

Proteger las instalaciones remotas requiere una estrategia dedicada, de defensa en profundidad. Una hoja de ruta de seguridad debe ser un ciclo continuo, no un proyecto único.

Fase 1: Gobernar e identificar

  • De qué se trata: No puedes proteger lo que no sabes que tienes. Esta fase se trata de establecer la gobernanza y obtener una visibilidad completa.

  • Elementos de acción:

    • Gobernanza: Nombrar al Coordinador de Ciberseguridad requerido por la TSA y establecer un Sistema de Gestión de Ciberseguridad (CSMS) según lo definido por ISA/IEC 62443.

    • Inventario completo de activos: Desplegar tecnología para escanear pasivamente la red OT e identificar cada dispositivo individual, cada PLC, HMI, sensor e interruptor, incluyendo sistemas heredados.

    • Evaluación de riesgos: Realizar una Evaluación formal de Vulnerabilidad de Ciberseguridad. Esto no es solo un escaneo de TI; debe analizar las consecuencias físicas de un ciberataque en cada proceso.

Fase 2: Asegurar/Proteger

  • De qué se trata: Fortalecer tus defensas para hacer que una intrusión sea lo más difícil posible.

  • Elementos de acción:

    • Segmentación de la red: Este es el paso de protección más crítico. Utiliza el modelo "Zonas y Conductos" de ISA/IEC 62443 para segmentar la red OT de la red TI y crear microsegmentos dentro de la propia red OT. Una brecha en la red comercial nunca debería poder cruzar a la red de control.

    • Acceso remoto seguro: Elimina las VPN compartidas. Implementa un control de acceso granular basado en roles con autenticación multifactor (MFA) para cada usuario remoto, incluidos los proveedores de terceros.

    • Gestión de parches: Los sistemas OT heredados son difíciles de parchear. Implementa un plan basado en riesgos que priorice parches críticos y use "parcheo virtual" (utilizando reglas de seguridad de red para bloquear un exploit) donde los sistemas no puedan desconectarse.

Fase 3: Detectar

  • De qué se trata: Aceptar que una intrusión es posible y centrarse en encontrarla antes de que cause daño.

  • Elementos de acción:

    • Monitoreo continuo de OT: Despliega una solución de detección de amenazas o NDR que esté construida para OT como Shieldworkz. Debe entender los protocolos industriales (por ejemplo, Modbus, DNP3) y establecer un comportamiento operativo normal para señalar instantáneamente anomalías, como un comando no autorizado a un PLC o tráfico inusual en la red.

    • Integración de CISA: Establece un proceso claro para compartir inteligencia de amenazas y recibir alertas de CISA y Centros de Compartición y Análisis de Información relevantes de la industria (ISACs).

Fase 4: Ser Resiliente: Responder y recuperar

  • De qué se trata: Ejecutar un plan para contener un incidente y restaurar las operaciones de manera segura y rápida.

  • Elementos de acción:

    • Plan de Respuesta a Incidentes (IRP): Este plan debe cumplir con las directivas de la TSA. Debe incluir guías claras para diferentes escenarios de ataque (por ejemplo, ransomware, compromiso de sistemas de seguridad).

    • Probar el Plan: Realiza ejercicios de simulación regulares, incluyendo escenarios proporcionados por CISA, que simulen un ataque "ciberfísico". El personal clave en el sitio remoto y en la sede corporativa debe conocer sus roles.

    • Respaldos Resilientes: Mantén copias de seguridad seguras, fuera de línea y probadas de todas las configuraciones y software críticos de sistemas OT. Esta es tu línea de vida para recuperarte de un ataque de ransomware destructivo.

Proteger las operaciones remotas de petróleo y gas es uno de los desafíos de ciberseguridad más complejos para los participantes del sector petrolero global y los gobiernos. Exige un cambio fundamental en el pensamiento, donde la ciberseguridad ya no es un problema de TI sino un componente central de la seguridad operativa y la gestión de riesgos. El escudo que protege tales activos puede no ser visible, pero nunca ha sido más esencial.

Habla con nuestro experto en ciberseguridad de Petróleo y Gas para discutir tus desafíos de ciberseguridad.

Descubre nuestra solución NDR para operadores de OT.

Aprende más sobre una evaluación de riesgos basada en IEC 62443 y NIST SP 800 para el sector de petróleo y gas aquí.

Recibe semanalmente

Recursos y Noticias

También te puede interesar

Explicación de NERC CIP-015-2

NERC CIP-015-2 Explicado: Ampliación de INSM a EACMS y PACS

Logotipo de Shieldworkz

Equipo Shieldworkz

Protegiendo la infraestructura crítica de los grupos APT durante eventos geopolíticos

Prayukth K V

Decodificando el silencio estratégico de los grupos cibernéticos iraníes

Equipo Shieldworkz

Cómo la crisis de Irán está afectando el ciberespacio

Equipo Shieldworkz

Ciberamenazas en Medio Oriente

Amenazas cibernéticas en Medio Oriente: Lo que las organizaciones necesitan saber ahora mismo

Equipo Shieldworkz

Construyendo un programa de ciberseguridad OT con IEC 62443 y NIST SP 800-82

Equipo Shieldworkz

BG image

Comienza ahora

Expande tu postura de seguridad CPS

Póngase en contacto con nuestros expertos en seguridad CPS para una consulta gratuita.

Solicitar una Demostración

BG image

Comienza ahora

Expande tu postura de seguridad CPS

Póngase en contacto con nuestros expertos en seguridad CPS para una consulta gratuita.

Solicitar una Demostración

BG image

Comienza ahora

Expande tu postura de seguridad CPS

Póngase en contacto con nuestros expertos en seguridad CPS para una consulta gratuita.

Solicitar una Demostración