La industria marítima debería estar preocupada por el lanzamiento de ChatGPT, un chatbot de IA.
Esta herramienta de IA generativa se puede utilizar para acelerar la ejecución, la velocidad y la calidad de los ataques. También proporciona herramientas a los piratas informáticos que hasta ahora pueden tener la capacidad de penetrar embarcaciones sin la base de conocimientos necesaria para interrumpir las operaciones de las embarcaciones. ChatGPT, tal como está diseñado y regulado actualmente, es esencialmente un multiplicador de fuerza para ciberataques efectivos en el mar, especialmente para los atacantes menos experimentados.
ChatGPT se puede utilizar para escribir correos electrónicos de phishing persuasivos y personalizados. Esto es importante para el sector marítimo porque los correos electrónicos de phishing muy a menudo son el comienzo de ataques disruptivos y generalizados, como los ataques de ransomware. Ya ha habido algunos casos de ransomware que afectaron a los barcos en los últimos años. Uno tuvo lugar en 2020, cuando dos barcos fueron infectados por el ransomware Hermes 2.1 a través del troyano AZORult. La infección se produjo como un documento de Word habilitado para macros adjunto a un correo electrónico, lo que afectó a varias estaciones de trabajo en las redes administrativas.
Si un usuario hace clic en un enlace malicioso, es probable que lo lleven a un sitio web que infecta malware en su computadora o revela sus credenciales de inicio de sesión a los atacantes. El atacante puede infectar y acceder al segmento de TI a bordo de la embarcación. El segmento de TI incluye el acceso a Internet de la tripulación y los pasajeros (conexiones Ethernet y Wi-Fi) y redes de sistemas de entretenimiento. Pueden pivotar desde allí al entorno de tecnología operativa (OT) de la embarcación. Aquí hay un ejemplo de un correo electrónico de phishing creado por ChatGPT, que felizmente incorpora un enlace malicioso:
ChatGPT también puede ayudar a los atacantes a escribir código malicioso que les ayuda a controlar la red OT, por ejemplo, a través de un ataque de ransomware. Los protocolos marítimos suelen ser muy complicados para escribir código, lo que amplía ampliamente la cantidad de perfiles de atacantes potenciales ( https://techcrunch.com/2023/01/11/chatgpt-cybersecurity-threat/?guccounter=1 ), especialmente aquellos con menos habilidades computacionales. Una vez más, ChaptGPT obliga en este ejemplo:
Esto es especialmente preocupante porque la segregación de la red es un desafío a bordo de un barco y, a menudo, se descompone para facilitar su uso. Sin embargo, es fundamental para proteger OT a bordo de embarcaciones de redes de TI menos confiables donde las amenazas se propagan con relativa facilidad. Los ejemplos de OT de embarcaciones ( https://fundamentalsfirst.co.uk/cyber-security-solutions/ot-cyber-security/maritime/ ) incluyen el Sistema de identificación automática que transmite los datos de identificación de la embarcación, la carga, la posición actual y el rumbo y el Sistema de seguimiento de contenedores, utilizado para rastrear el contenido y el movimiento de los contenedores mediante GPS.
Las redes de OT y TI generalmente se configuran en una de cuatro formas: plano, firewalls, host y servidor de acceso remoto. La facilidad de conexión entre los activos de TI y OT varía con cada enfoque. Una red plana proporciona acceso directo entre los activos de TI y OT, en los que tanto la conexión a OT como el abuso de protocolos y servicios inseguros son triviales, debido a que no hay protección. Por el contrario, una red de servidor de acceso remoto proporciona un entorno OT segregado que utiliza un protocolo de escritorio remoto (RDP). Una red de cortafuegos está configurada para permitir algo de tráfico, por ejemplo, cuando una herramienta de configuración necesita acceso a un protocolo como Modbus. Sin embargo, los atacantes aún pueden atacar el entorno OT en este caso, ya que las reglas del firewall a menudo se configuran para ser demasiado permisivas, por ejemplo, al permitir todas las comunicaciones entre dos direcciones IP.
El acceso remoto controlado todavía se puede proporcionar junto con entornos de TI y OT segregados, mediante la instalación de un servicio de acceso remoto (RAS) en una DMZ (subred) entre las redes de TI y OT. Un RAS es una estación de trabajo dentro del entorno OT desde la cual un usuario conectado remotamente puede realizar funciones de administración u operación, cuando se conecta a través de RDP para acceder a los componentes OT. Con la conexión RDP, el firewall del lado de TI se puede configurar para permitir solo el acceso entrante a través del puerto de protocolo aprobado (p. ej., RDP) y solo al Jump Box.
Estos tipos de ataques se vuelven más accesibles para una variedad de atacantes con el uso de ChatGPT. Su papel como multiplicador de fuerza solo se volverá más significativo a medida que los atacantes confíen en sus sofisticadas funcionalidades para lograr sus objetivos, poniendo a los barcos en peligro de sufrir más incidentes cibernéticos. Esto hace que las medidas de seguridad cibernética, incluida la capacitación del personal y las campañas de concientización sobre los correos electrónicos de phishing, sean cada vez más importantes.
Fuente: Por Jessie Hamill-Stewart, Dmitry Mikhaylov, Andrew Sallay, Reperion
