[12/12/2022] Los gemelos digitales son una representación digital de objetos, estructuras o sistemas que proporcionan a las organizaciones un mayor conocimiento del ciclo de vida de estos objetos, pero este mismo nivel de conocimiento y control también puede abrir puertas a los atacantes malintencionados.
Los gemelos digitales pueden crearse para cualquier infraestructura física que incluya componentes individuales de un motor, una turbina y otros equipos, o fábricas enteras y centros de datos.
[Reciba lo último de CIO Perú suscribiéndose a nuestro newsletter semanal]
"Lo que diferencia a un gemelo digital de un modelo normal es el hecho de que es un modelo del número de serie específico que se ha desplegado sobre el terreno", afirma Justin John, director ejecutivo de tecnología de GE Global Research. "Está respaldado por la física, o ha aprendido cómo funciona un activo a través de datos históricos, y ahora va a utilizar eso para la predicción".
Los gemelos digitales pueden ampliarse para modelar sistemas complejos, afirma. "Puede tener cinco o seis modelos diferentes y combinarlos para obtener el resultado empresarial que le interese".
En algunos casos, los gemelos digitales pueden utilizarse para controlar directamente el activo que reflejan.
Retos de los gemelos digitales a los que se enfrentan los CISO
Mediante el uso de datos de un gemelo digital, un dispositivo o sistema del mundo real se puede ajustar para que funcione de la manera más eficiente posible para ahorrar costos y ampliar su ciclo de vida, pero también crea sus propios riesgos de seguridad.
Lamentablemente, aunque los CISO deberían ser partes interesadas clave en los proyectos de gemelos digitales, casi nunca son quienes toman las decisiones en última instancia, afirma Alfonso Velosa, vicepresidente de investigación de IoT en Gartner.
"Dado que los gemelos digitales son herramientas para impulsar la transformación de los procesos empresariales, la unidad empresarial u operativa suele liderar la iniciativa. La mayoría de los gemelos digitales se crean a medida para satisfacer una necesidad empresarial específica", afirma.
Cuando una empresa adquiere un nuevo activo inteligente, ya sea un camión, una retroexcavadora, un ascensor, un compresor o un congelador, suele venir con un gemelo digital, según Velosa. "La mayoría de los equipos operativos necesitarán un apoyo racionalizado y transversal de TI -no solo del CISO- para integrarlos en sus procesos empresariales más amplios y gestionar la seguridad".
Si no se establecen los controles de ciberseguridad adecuados, los gemelos digitales pueden ampliar la superficie de ataque de una empresa, dar a los actores de amenazas acceso a sistemas de control previamente inaccesibles y exponer vulnerabilidades preexistentes.
Superficie de ataque ampliada
Cuando se crea el gemelo digital de un sistema, la superficie de ataque potencial se duplica: los adversarios pueden ir a por los propios sistemas o atacar el gemelo digital de ese sistema.
A veces, cuando los sistemas subyacentes no son fácilmente accesibles desde el exterior, un gemelo digital puede sacar a la luz partes de la empresa que antes estaban ocultas. Por ejemplo, en el pasado, una fuente de alimentación en un centro de datos solo podía ser accesible por un técnico que estuviera físicamente en un terminal de control cercano. Un gemelo digital de esa infraestructura podría permitir al técnico supervisar el dispositivo a distancia, al igual que un pirata informático si consiguiera acceder.
Y no solo se exponen datos de sensores antes inaccesibles. "En algunos casos, el gemelo digital puede enviar señales de control que cambien el estado de la cosa real [que se está modelando]", afirma Velosa, de Gartner.
Y cuando los gemelos digitales son modelos de operaciones empresariales alimentados por datos en tiempo real, pueden recopilar información clave de la empresa y, a veces, también información personal identificable de empleados y clientes, según Velosa. Esto los convierte en objetivos tentadores.
Dependiendo de la geografía soberana, esto puede dar lugar a sanciones reglamentarias y de cumplimiento. "También pone de relieve qué datos son importantes, ya que los gemelos digitales se construyen para cumplir objetivos empresariales", añade.
Como consecuencia, los resultados de un gemelo digital pueden indicar a un adversario o competidor no solo en qué está trabajando una empresa, sino que también pueden ofrecer información valiosa sobre la estrategia y la dirección futura de una empresa, advierte Velosa.
Además, los gemelos digitales están vinculados a sus gemelos físicos, y esa conexión en sí misma presenta un vector de ataque adicional para saltar entre gemelos, en caso de que uno se vea comprometido, afirma Lawrence Munro, CISO de grupo de la consultora NCC Group.
Por último, los gemelos digitales pueden desplegarse para permitir la supervisión remota por parte de usuarios internos o terceros, afirma Munro. "Esto podría introducir la amenaza de que un usuario remoto pueda acceder al gemelo físico a través de la conectividad de red".
Los CISO desconocen los activos que tienen gemelos digitales
Uno de los principales casos de uso de los gemelos digitales es hacer que la tecnología operativa sea más accesible y manejable. Desafortunadamente, la ciberseguridad es a menudo una idea tardía en el ámbito de la tecnología operativa, y muchos sistemas se ejecutan en tecnología heredada que puede no ser fácil de asegurar.
Pero si los atacantes consiguen acceder a la tecnología operativa, pueden hacer mucho daño a una empresa, y los gemelos digitales aceleran este riesgo, afirma Todd Decking, CISO de la empresa de consultoría y software de gestión SaaS Zluri.
Los gemelos digitales son más fácilmente accesibles que sus homólogos físicos, afirma Decking. Los entornos tecnológicos operativos solían considerarse separados y aislados, pero ya no es así. Ahora están totalmente conectados, son accesibles y fáciles de poner en peligro.
Es posible que los CISO ni siquiera sean conscientes de la lista completa de activos de tecnología operativa que tienen gemelos digitales. "Si no sabe lo que tiene no se puede proteger", indica Decking.
Exposición de las vulnerabilidades subyacentes
Los gemelos digitales dependen de la entrada de sensores IoT, que pueden estar llenos de vulnerabilidades, así como de sistemas que ejecutan sistemas operativos vulnerables y heredados.
Según un informe de seguridad de agosto de Nozomi Networks, hubo 560 vulnerabilidades y exposiciones comunes publicadas por ICS-CERT relacionadas con la tecnología operativa y la IoT en el primer semestre del 2022, de las cuales 109 afectan directamente a la industria manufacturera crítica.
"El uso de dispositivos IoT como sensores dentro de la configuración gemela presenta una preocupación debido al estado generalmente deficiente de la seguridad en estos dispositivos", indica Munro de NCC Group. A menudo hay un retraso en los conocimientos de ciberseguridad cuando se trata de gemelos digitales.
"A menudo es muy difícil familiarizarse con las nuevas tecnologías y que los investigadores o ingenieros tengan acceso a ejemplos en funcionamiento. Esto supone un reto a la hora de conseguir los conocimientos adecuados para garantizar la seguridad de estas plataformas", afirma Munro.
Cómo proteger los gemelos digitales
Las mejores prácticas para proteger los gemelos digitales empiezan por incluir expertos en ciberseguridad en el equipo de despliegue, seguir unas normas básicas de higiene en ciberseguridad y adoptar principios de confianza cero.
Las organizaciones que desplieguen gemelos digitales deben trabajar con expertos en seguridad para elaborar modelos detallados de amenazas, afirma Munro. "Al igual que con cualquier tecnología más nueva, los CISO deben tratar de comprender los modelos de amenaza que introduce y el impacto en la superficie de ataque".
La experiencia necesaria puede no estar siempre disponible internamente, y una solución puede ser trabajar con socios en la industria de la ciberseguridad, sugiere Munro.
Las empresas que despliegan gemelos digitales deben seguir buenos principios de ciberseguridad desde el inicio del proceso, añade Velosa de Gartner. "Aprovechar las mejores prácticas de seguridad en su diseño, desde las políticas a las tecnologías y las normas. Esto abarca desde el cifrado a las políticas NIST o TLS hasta el control de acceso basado en roles".
El diseño y desarrollo de gemelos digitales debe contar con la financiación adecuada. y centrarse éticamente en marcar la diferencia a la vez que se mitiga el riesgo y se alinea con la normativa, afirma Velosa. "Evite el uso de datos personales siempre que sea posible, y sea transparente sobre dónde los recopila, por qué los recopila y cómo los protegerá. Trabaje con el departamento de compras para asegurarse de que su empresa es propietaria no solo de los datos del gemelo digital, sino también de los modelos".
Los gemelos digitales deben protegerse como cualquier otro dispositivo crítico de la red, indica Decking de Zluri. "Implante una arquitectura de confianza cero, no solo en el perímetro, sino también asegure la red interna mediante microsegmentación, autenticación multifactor y otras técnicas. Puede requerir pasos adicionales para que los empleados accedan a estos sistemas, pero bien vale la pena la molestia".
Cómo pueden ayudar los gemelos digitales a la ciberseguridad
Pero los gemelos digitales no son solo un problema de seguridad para las empresas. Algunas empresas los están utilizando para mejorar su ciberseguridad: como sistema de alerta temprana de ataques, como trampa de miel y como caja de arena de pruebas.
Los gemelos digitales pueden ayudar a las organizaciones a eliminar vulnerabilidades en los sistemas mediante la creación de clones virtuales para realizar pruebas de seguridad. Pueden ayudar a la ciberseguridad porque pueden reaccionar a las vulnerabilidades cibernéticas de una manera que refleja un sistema real.
"Puede conseguir esa reacción de muchas maneras, incluso haciendo que el software o firmware de su sistema real se ejecute en su gemelo digital", afirma Kevin Coggins, vicepresidente de la consultora Booz Allen.
Y pueden utilizarse para probar sistemas físicos caros en busca de vulnerabilidades antes de ponerlos en producción, como en aviónica. "No puede simplemente acercarse a un avión y aplicar algún tipo de amenaza, porque invalidaría todo el proceso de certificación del avión. Ataca ese gemelo digital y descubre cualquier vulnerabilidad potencial", afirma Coggins.
Para un cliente, la empresa de Coggins se asoció con el desarrollador de software Unity Technologies para hacer un gemelo digital tridimensional y conectado a IoT de una gran instalación que, según él, les está permitiendo buscar vulnerabilidades en el sistema para averiguar qué efecto podría haber tenido el acceso de alguien.
Aunque no sean sistemas de producción propiamente dichos, estos gemelos digitales deben recibir el mismo nivel de protección de seguridad. "Alguien puede utilizarlo para entrenarse en el sistema real", afirma Coggins. "Si va a hacer un gemelo digital, asegúrese de que está protegiendo el entorno en el que va a vivir".
Un gemelo digital también puede actuar como una especie de tela de araña o sistema de detección de amenazas: la incursión de un atacante creará ondas que podrán sentir los equipos de ciberseguridad.
Una empresa que utiliza gemelos digitales como una especie de capa de sensores de alta sensibilidad es GE, que está construyendo algo que llaman "fantasmas digitales". Por ejemplo, si un adversario ataca los controles de una pieza clave de una infraestructura crítica, aunque sea capaz de falsear la salida de ese sensor en concreto, el gemelo digital en su conjunto reconocerá que algo va mal porque todo el sistema dejará de actuar según lo previsto o no coincidirá con la información que fluye de otros sensores.
De hecho, cuanto más complejo sea el sistema, mejor, porque tendrá más sensores y, por tanto, más capacidad de observación, afirma John, de GE.
Las infraestructuras críticas son ejemplos perfectos de cómo pueden utilizarse los gemelos digitales para ayudar a la ciberseguridad. "La realidad es que puedo predecir bastante bien cómo se supone que deben funcionar las cosas, especialmente si tengo los controles integrados con mi modelo de gemelo digital, y puedo utilizarlo para saber si se está produciendo un ciberataque", afirma John. "Voy a mirar las variables del proceso -caudal de aire, presión, temperatura-, todas las cosas que hacen que los activos funcionen de la forma en que lo hacen, y voy a comprobar si todas ellas son normales o anormales, averiguar dónde está el problema y hacérselo saber al operador".
"Estamos utilizando un gemelo, pero no queremos que el atacante lo sepa, así que es un fantasma digital", señala.
Los fantasmas digitales pueden utilizarse para proteger no solo las infraestructuras críticas, sino también la tecnología operativa del centro de datos de una organización, afirma. La ciberseguridad operativa típica consiste en examinar el tráfico de red, los firewalls y buscar virus. "Esto no es nada de eso".
En cambio, dice, la visión de GE de los fantasmas digitales es más sobre la forma en que operan los activos físicos subyacentes. "Lo que tenemos que entender es cuál es la física de lo que parece normal, cómo funcionan normalmente los controles de estos activos. Y si tuviera ese conocimiento y muchos datos simulados o históricos, podría construir una representación realmente buena de cómo debería funcionar un activo".
El fantasma digital sería capaz de detectar si algo va mal, y decir con precisión qué sensor está en peligro, indica John. "Los operadores suelen tardar días o semanas en localizar el problema. El fantasma digital lo hace en cuestión de segundos".
Basado en el artículo de Maria Korolov (CSO) y editado por CIO Perú
Puede ver también: