Ciberseguridad en la

Tecnología Operativa: 7
Perspectivas que Debe Conocer
PATROCINADO POR TENABLE
Realizado en forma independiente por Ponemon Institute LLC
Marzo de 2019
Ciberseguridad en la Tecnología Operativa:
7 Perspectivas que Debe Conocer
RESUMEN EJECUTIVO
Ciberseguridad en la Tecnología Operativa: 7 Perspectivas que Debe Conocer, que fue patrocinado por Tenable® y realizado
por Ponemon Institute, revela que la falta de visibilidad hacia la superficie de ataque, personal de seguridad inadecuado
y la dependencia de los procesos manuales, socavan los requisitos establecidos por las organizaciones del sector de
tecnología operativa (OT) para proteger la infraestructura de OT y IoT de la inoperabilidad.

Este informe se basa en nuestro análisis de un subconjunto de 701 encuestados del informe Medición y Gestión de los
Riesgos Cibernéticos en las Operaciones de Negocios1, cuyas organizaciones pertenecen al sector de OT2. Este sector se
define como las industrias dependientes de sistemas de control industrial (ICS) y otras tecnologías operativas. Todos los
encuestados están involucrados en la evaluación y administración de las inversiones en soluciones de ciberseguridad
para TI u OT dentro de sus organizaciones. Debido a que los sistemas operativos de la actualidad dependen tanto de los
activos de OT como de los de TI, hemos investigado los sectores de TI, OT e IoT.

A continuación, se resumen los hallazgos clave:

1. Los ataques cibernéticos son implacables y continuos contra los entornos de OT. La mayoría de las organizaciones
del sector de OT experimentaron múltiples ataques cibernéticos que causan filtraciones de datos y/o interrupciones
y tiempos de inactividad significativos en las operaciones de negocios, las plantas y los equipos operativos. Muchas
han sufrido ataques originados por estados nación.
2. La alta dirección está sumamente involucrada en la evaluación del riesgo cibernético. Los directores de tecnología,
seguridad y riesgos son los que están más involucrados en la evaluación del riesgo cibernético como parte de la
gestión de los riesgos del negocio de sus organizaciones.
3. Casi la mitad de las organizaciones intentan cuantificar el riesgo de los eventos cibernéticos. El 48 % de las
organizaciones del sector de OT (frente al 38 % de las organizaciones que no pertenecen a ese sector) intentan
cuantificar el daño que un evento cibernético podría tener en sus negocios, y es más probable que cuantifiquen el
impacto en función el inoperabilidad de los sistemas de OT.
4. Las organizaciones del sector de OT prevén amenazas significativas en 2019. Al analizar el año 2019, se observa un
incremento en las preocupaciones acerca de que terceros hagan un uso indebido de la información confidencial o
la compartan, y de ataques de OT que ocasionen tiempos de inactividad en la planta o los equipos operativos. Las
preocupaciones por los ataques originados por estados nación se mantienen a un nivel importante.
5. Las prioridades de gobernanza para 2019 varían. Aumentar la comunicación con la alta dirección y la junta directiva
acerca de las amenazas de ciberseguridad que enfrenta la organización y asegurar que los terceros tengan prácticas
de seguridad adecuadas para proteger los datos sensibles y confidenciales son las principales prioridades para 2019.
6. Las prioridades de seguridad para 2019 abordan las amenazas sofisticadas. La principal prioridad de seguridad para
2019 es mejorar la capacidad de mantener a las organizaciones actualizadas frente a la sofisticación y el sigilo de los
atacantes. Esto no es una sorpresa, dada la cantidad significativa de organizaciones del sector de OT que han sufrido
un ataque originado por estados nación en los últimos 24 meses.

7. Las organizaciones se enfrentan al desafío de mejorar la ciberseguridad. Pocas organizaciones tienen una visibilidad
suficiente hacia su superficie de ataque. Obtener la visibilidad necesaria continuará siendo un desafío, debido a la
combinación de la escasez de personal y la gran dependencia de los procesos manuales.

1 Encuestamos a 2410 profesionales de TI y de seguridad de TI en los Estados Unidos, el Reino Unido, Alemania, Australia, México y Japón, y los hallazgos se
presentaron en un informe ya publicado, Medición y Gestión de los Riesgos Cibernéticos en las Operaciones de Negocios.
2 El sector de OT en este estudio incluye encuestados de los sectores de energía y servicios públicos, de la salud y farmacéutico, industrial y de manufactura,
y del transporte.

2 Ciberseguridad en la Tecnología Operativa: 7 Perspectivas Que Debe Conocer, marzo de 2019

PERSPECTIVAS CLAVE
Analicemos en mayor detalle cada uno de los hallazgos.

Hallazgo n.º 1: Los ataques cibernéticos son implacables y continuos.

Como se muestra en la Figura 1, el 90 % de las organizaciones de OT representadas en este estudio han experimentado,
al menos, un ataque cibernético que causó daños en los últimos dos años, y el 62 % han tenido dos o más. Estos ataques
causaron filtraciones de datos, o una interrupción o un tiempo de inactividad significativos en las operaciones de
negocios, las plantas y el equipo operativo.

Figura 1. 30% 28%

Las organizaciones
25%
del sector de OT están 25%
experimentando múltiples
ataques cibernéticos que 20%
causan daños

90 %
15% 13% 13%

10%
10%
7%

han experimentado, 5%
4%
al menos, un ataque
cibernético perjudicial en
los últimos dos años 0%
0 1 2o3 4o5 6o7 8o9 10 u 11
Cantidad de ataques cibernéticos experimentados en los últimos 24 meses

3 Ciberseguridad en la Tecnología Operativa: 7 Perspectivas Que Debe Conocer, marzo de 2019

Prácticamente, todas las organizaciones del sector de OT dependen de sistemas convergentes de OT y de IT. Por lo tanto,
el sector de OT está preocupado por las debilidades y los ataques relacionados con los sistemas de OT e IT, en particular,
las estafas de phishing. El 53 % de las organizaciones del sector de OT informan que, en los últimos 24 meses, un
empleado cayó en una estafa de phishing que ocasionó un robo de autenticaciones (vea la Figura 2).
Los atacantes de OT a menudo utilizan las autenticaciones obtenidas en entornos de IT para entrar en la infraestructura
de OT y atacarla. La mitad de las organizaciones del sector de OT dicen que han tenido, al menos, un ataque contra la
infraestructura de OT que ocasionó tiempo de inactividad en la planta o los equipos operativos en los últimos 24 meses.
Además, el 23 % informa, al menos, un ataque originado por estados nación en los últimos 24 meses.

Figura 2. Eventos cibernéticos experimentados en los últimos 24 meses

Un empleado que caiga en una estafa de phishing que

53%
produzca el robo de credenciales

Un ataque contra la infraestructura de OT de mi empresa que ocasione

50%
tiempo de inactividad en la planta o los equipos operativos

Un ataque que involucre activos de IoT o de OT 45%

Un tercero que haga un uso indebido de la información

37%
confidencial o la comparta con otros terceros

Una interrupción significativa de los procesos

37%
empresariales causada por malware

Un ataque cibernético que ocasione 33%

un tiempo de inactividad significativo

Una filtración de información confidencial de 29%

la empresa, como correos electrónicos

Espionaje económico (robo de información crítica para la empresa) 23%

Un ataque originado por estados nación 23%

Extorsión cibernética, como ransomware 21%

Una filtración de datos que involucre 10 000 o más

17%
registros de clientes o empleados

Multas o demandas por incumplimiento de los

10%
requisitos de protección de datos y privacidad

Otra 3%

50 %
0% 10% 20% 30% 40% 50% 60%

han experimentado, al
menos, un ataque contra la
infraestructura de OT que
ocasionó tiempo de inactividad
en los últimos 24 meses

4 Ciberseguridad en la Tecnología Operativa: 7 Perspectivas Que Debe Conocer, marzo de 2019

Hallazgo n.º 2: La alta dirección está sumamente involucrada en la evaluación del riesgo
cibernético.

No es de extrañar que más de la mitad (60 %) de los encuestados hayan afirmado que la alta dirección está más involucrada
en la evaluación del riesgo cibernético como parte de la gestión de los riesgos del negocio de sus organizaciones. Los gerentes
de línea de negocio y de planta están más involucrados solo alrededor de un tercio (37 %) del tiempo.

Figura 3.
Director de Información 25%
¿Quién está más
Director de Seguridad de la Información 12%
involucrado en la
evaluación del riesgo Director de Seguridad 6%

cibernético como parte Director de Riesgos 10%

de la gestión de los Director de Tecnología 7%
riesgos del negocio de su
Gerencia de Línea de Negocios (LoB) 29%
organización?

60 %
Gerencia de Planta 8%

Otra 3%

0% 5% 10% 15% 20% 25% 30%

informan que la alta

dirección está más
involucrada en la
evaluación del riesgo
cibernético

5 Ciberseguridad en la Tecnología Operativa: 7 Perspectivas Que Debe Conocer, marzo de 2019

Hallazgo n.º 3: Casi la mitad de las organizaciones del sector de OT intentan cuantificar el daño de los
eventos cibernéticos.

Casi la mitad de los encuestados del sector de OT (48 %) dicen que su organización intenta cuantificar el daño a los negocios
causado por las amenazas enumeradas en la Figura 4. De hecho, cuantificar el daño causado por el tiempo de inactividad de
los sistemas de OT se considera el factor más importante a la hora de cuantificar el riesgo cibernético general (vea la Figura 4).

El tiempo de inactividad de OT puede generar pérdidas por millones de dólares en ingresos, productividad, etc. Por ejemplo,
Taiwan Semiconductor Manufacturing Company Ltd. informó que la infección por WannaCry, que paralizó varias fábricas,
reduciría los ingresos trimestrales en un 3 %3, estimados en más de USD 150 millones.

Figura 4.
Tiempo de inactividad de los sistemas de OT 49%
Factores utilizados
para cuantificar el Frecuencia de las vulnerabilidades sin parche (conocidas) 45%

riesgo Robo de propiedad intelectual 41%

Pérdida de productividad de los empleados 40%

Pérdida financiera 38%

1/2
Rotación de clientes 33%

Pérdida de participación en el mercado 23%

dice que el tiempo Rotación de personal 19%

de inactividad de los
Disminución del precio de las acciones 11%
sistemas de OT es el
factor más importante Otra 0%
utilizado para
cuantificar el riesgo 0% 10% 20% 30% 40% 50%

3 TSMS Details Impact of Computer Virus Incident

(TSMS detalla el impacto del incidente del virus informático)

6 Ciberseguridad en la Tecnología Operativa: 7 Perspectivas Que Debe Conocer, marzo de 2019

Hallazgo n.º 4: Las organizaciones del sector de OT prevén amenazas significativas en 2019.

• Terceros que hagan un uso indebido de la información confidencial o la compartan: Aunque solo el 37 % de los encuestados
del sector de OT informan que, en los últimos 24 meses, un tercero hizo un uso indebido de la información confidencial o
la compartió (vea la Figura 2), el 65 % menciona la amenaza como una de las cinco que más les preocupan en 2019 (vea la
Figura 5), lo que la convierte en la amenaza más importante prevista para este año. Esto no es sorprendente, ya que muchas
organizaciones del sector de OT delegan en terceros la gestión y el mantenimiento de su infraestructura de OT.

• Los ataques de OT que ocasionan tiempo de inactividad son una amenaza cada vez mayor: Mientras que el 50 % de las
organizaciones sufrieron, al menos, un ataque contra la infraestructura de OT que ocasionó tiempo de inactividad en la planta
y/o los equipos operativos en los últimos 24 meses (vea la Figura 2), el 60 % lo menciona como una de las cinco principales
amenazas que más les preocupan en 2019 (vea la Figura 5).

• Los ataques originados por estados nación continúan: Más de una quinta parte (21 %) de las organizaciones del sector de OT
mencionan los ataques originados por estados nación como una de las amenazas que más les preocupan (vea la Figura 5). Los
ataques originados por estados nación son especialmente inquietantes en el sector de OT, ya que, por lo general, son llevados
a cabo por delincuentes cibernéticos sólidamente financiados y altamente capacitados, y están dirigidos a las infraestructuras
críticas.4

Figura 5. Amenazas más preocupantes en 2019

Un tercero que haga un uso indebido de la información

65%
confidencial o la comparta con otros terceros

Un ataque que involucre activos de IoT o de OT 63%

Un ataque contra la infraestructura de OT de mi empresa que

60%
ocasione tiempo de inactividad en la planta o los equipos operativos

Una filtración de información confidencial de 41%

la empresa, como correos electrónicos
Una filtración de datos que involucre 10 000 o más
39%
registros de clientes o empleados

Un empleado que caiga en una estafa de phishing que

35%
tenga como consecuencia el robo de credenciales

60 %
Espionaje económico (robo de información crítica para la empresa) 35%

Un ataque cibernético que ocasione un tiempo de inactividad significativo 34%

Una interrupción significativa de los procesos

33% están preocupados por
empresariales causada por malware
un ataque contra la
Un ataque originado por estados nación 21% infraestructura de OT

Extorsión cibernética, como ransomware 19%

Multas o demandas por incumplimiento de los

12%
requisitos de protección de datos y privacidad

Otra 1%

0% 10% 20% 30% 40% 50% 60% 70%

4 Consulte la alerta técnica de US-CERT, “Russian Government Cyber Activity Targeting Energy and Other Critical Infrastructure Sectors”
(La actividad cibernética del gobierno ruso está apuntando al sector energético y otros sectores de infraestructuras críticas)

7 Ciberseguridad en la Tecnología Operativa: 7 Perspectivas Que Debe Conocer, marzo de 2019

Hallazgo n.º 5: Las prioridades de gobernanza para 2019 varían.

La prioridad número uno para 2019 es aumentar la comunicación con la alta dirección y la junta directiva acerca de las
amenazas de ciberseguridad que enfrenta la organización (vea la Figura 6). La segunda prioridad es asegurar que los
terceros tengan prácticas de seguridad adecuadas para proteger los datos sensibles y confidenciales. Este objetivo se
alinea directamente con la amenaza más preocupante para 2019: que un tercero haga un uso indebido de la información
confidencial o la comparta (vea la Figura 5).

Figura 6. Prioridades de gobernanza para 2019

Aumentar la comunicación con los directores y la junta directiva

70%
sobre las amenazas cibernéticas que enfrenta nuestra organización

Asegurar que los terceros tengan prácticas de seguridad

63%
adecuadas para proteger los datos sensibles/ confidenciales

Aumentar la capacitación del personal para evitar comportamientos

59%
como caer en una estafa de phishing o compartir contraseñas

Asignar más recursos a la gestión de vulnerabilidades 55%

Aumentar la cantidad de FTE en nuestra función de seguridad de TI 39%

Otra 0%

0% 10% 20% 30% 40% 50% 60% 70% 80%

8 Ciberseguridad en la Tecnología Operativa: 7 Perspectivas Que Debe Conocer, marzo de 2019

Hallazgo n.º 6: Las prioridades de seguridad para 2019 abordan las amenazas sofisticadas para OT.

Como se muestra en la Figura 7, las dos prioridades principales, “Mejorar nuestra capacidad para mantenernos actualizados
frente a la sofisticación y el sigilo de los atacantes” y “Reducir el riesgo de los ataques a la infraestructura de OT” se alinean
perfectamente con el riesgo, analizado anteriormente, de ataques originados por estados nación contra la infraestructura de
OT (vea la Figura 2).

Figura 7. Prioridades de seguridad para 2019

Mejorar nuestra capacidad para mantenernos al día

67%
con la sofisticación y el sigilo de los atacantes

Reducir el riesgo de los ataques a la infraestructura de OT 56%

Mejorar los datos sensibles y confidenciales contra el acceso no autorizado

51%

Reducir la complejidad en nuestra infraestructura de seguridad de TI 49%

Mejorar los controles sobre el acceso de terceros

47%
a nuestros datos sensibles/confidenciales

Asegurar que los terceros tengan prácticas de seguridad

47%
adecuadas para proteger los datos sensibles/ confidenciales

Reducir el riesgo de los dispositivos IoT en el lugar de trabajo 43%

Controlar la proliferación de dispositivos IoT en el lugar de trabajo 18%

Otra 2%

0% 10% 20% 30% 40% 50% 60% 70% 80%

9 Ciberseguridad en la Tecnología Operativa: 7 Perspectivas Que Debe Conocer, marzo de 2019

Hallazgo n.º 7: Las organizaciones se enfrentan al desafío de mejorar la ciberseguridad.

La visibilidad hacia la superficie de ataque es insuficiente

En una escala de cinco puntos, que va desde “totalmente de acuerdo” a “totalmente en desacuerdo”, solo el 20 % de los encuestados
del sector de OT están de acuerdo o totalmente de acuerdo en que tienen suficiente visibilidad hacia la superficie de ataque de su
organización (vea la Figura 8). Esto es preocupante, porque todos los controles y procesos de seguridad dependen de la visibilidad
que proporcionan los inventarios de activos completos. Es fundamental un inventario completo de hardware y software para todos
los marcos de seguridad y requisitos de cumplimiento, entre ellos, los controles CIS, el marco de trabajo del NIST para mejorar la
ciberseguridad de las infraestructuras críticas y NERC CIP.

La falta de personal y los procesos manuales limitan la gestión de vulnerabilidades

La escasez de profesionales con habilidades de ciberseguridad ha exacerbado los problemas creados por la dependencia de
los procesos manuales. Esta escasez de habilidades es especialmente evidente en la gestión de vulnerabilidades, ya que las
organizaciones carecen, a menudo, del personal de gestión de vulnerabilidades suficiente para ejecutar los procesos manuales.

Figura 8. Percepciones sobre los desafíos a los que se enfrentan los equipos de seguridad

20%
Tengo suficiente visibilidad de
39%
La función de seguridad de
nuestra organización cuenta con
la superficie de ataque de mi
el personal adecuado para
organización
detectar las vulnerabilidades de
forma oportuna

53%
Nuestra organización está en
55%
El equipo de seguridad dedica
más tiempo a sortear los procesos
desventaja para responder a las
manuales que a responder a las
vulnerabilidades porque usamos
vulnerabilidades, lo que conduce
un proceso manual
a retrasos en las respuestas
difíciles de superar

Los porcentajes representan las respuestas de “totalmente de acuerdo” y “de acuerdo” combinadas

10 Ciberseguridad en la Tecnología Operativa: 7 Perspectivas Que Debe Conocer, marzo de 2019

CONCLUSIÓN
Las organizaciones del sector de OT están alineando sus prioridades de seguridad de este año a fin de abordar sus
preocupaciones más importantes para 2019. Los resultados de la encuesta sugieren múltiples recomendaciones para mejorar
la seguridad en 2019 y más allá:

• Mejorar la comunicación con la alta dirección y la junta directiva sobre las amenazas cibernéticas que enfrenta la
organización. Esto ayudará a identificar y abordar las brechas entre el apetito por el riesgo de la organización y la
exposición real al riesgo.

• Mejorar la visibilidad hacia la superficie de ataque. Los puntos ciegos pueden ocasionar que existan sistemas de TI y
OT no administrados e inseguros. Se requiere una visibilidad completa para que las organizaciones puedan evaluar sus
riesgos.

• Aumentar el uso de procesos automatizados para compensar la escasez de personal de seguridad.

• Seguir reconociendo el impacto en la seguridad de las interdependencias entre los sistemas de TI y de OT. Las
vulnerabilidades y otras debilidades en los sistemas de TI pueden poner en riesgo los sistemas de OT interconectados, y
viceversa.

¿Necesita ayuda para obtener visibilidad hacia su infraestructura de OT? Vea la publicación en el blog: “Gain Greater Insight
into Operational Technology Environments” (Obtenga una mayor comprensión de los entornos de tecnología operativa).

11 Ciberseguridad en la Tecnología Operativa: 7 Perspectivas Que Debe Conocer, marzo de 2019

Si tiene alguna pregunta, escriba a research@ponemon.org o llame al 800.887.3118.

Ponemon Institute
Promover una gestión responsable de la información

Ponemon Institute se dedica a la investigación independiente y a la formación para promover prácticas responsables de
gestión de la información y de la privacidad dentro de las empresas y las instituciones de gobierno. Nuestra misión es realizar
estudios empíricos de alta calidad sobre temas críticos que afectan la gestión y la seguridad de la información sensible sobre
personas y organizaciones.

Cumplimos con estrictos estándares de confidencialidad de los datos, privacidad e investigación ética. No recopilamos
ningún tipo de información de identificación personal de individuos (o información identificable de empresas en nuestras
investigaciones empresariales). Además, tenemos estrictos estándares de seguridad para garantizar que no se les hagan
preguntas irrelevantes o inadecuadas a las personas a quienes pertenecen los datos.

12 Ciberseguridad en la Tecnología Operativa: 7 Perspectivas Que Debe Conocer, marzo de 2019

7021 Columbia Gateway Drive
Suite 500
Columbia, MD 21046

Norteamérica +1 (410) 872-0555

www.tenable.com

COPYRIGHT 2019 TENABLE, INC. TODOS LOS DERECHOS RESERVADOS. TENABLE, TENABLE.IO, TENABLE NETWORK SECURITY, NESSUS, SECURITYCENTER, SECURITYCENTER
CONTINUOUS VIEW Y LOG CORRELATION ENGINE SON MARCAS REGISTRADAS DE TENABLE, INC. TENABLE.SC, LUMIN, ASSURE Y THE CYBER EXPOSURE COMPANY SON
MARCAS REGISTRADAS DE TENABLE, INC. EL RESTO DE LOS PRODUCTOS O SERVICIOS SON MARCAS REGISTRADAS DE SUS RESPECTIVOS PROPIETARIOS.