Modelo de madurez para determinar el nivel de exposición a ataques de tipo ransomware en empresas con redes OT

Abstract

El ransomware ha evolucionado desde 2010 como una amenaza persistente y altamente disruptiva, afectando no solo a entornos de tecnologías de la información (TI), sino también a sistemas de tecnología operacional (OT), cuya exposición ha aumentado debido a la creciente integración con redes corporativas e internet. Estos entornos OT, caracterizados por la necesidad de disponibilidad continua, presentan dificultades particulares para la implementación de controles de ciberseguridad tradicionales, lo que los convierte en blancos atractivos para ataques sofisticados. En este contexto, se desarrolló una herramienta para medir el nivel de exposición al ransomware en organizaciones que operan infraestructuras OT. El enfoque metodológico partió de la base de los controles definidos en CIS Controls v8, los cuales fueron cruzados con marcos normativos y guías relevantes para el entorno industrial. Además, se incorporaron diez ataques de ransomware modelados a partir de MITRE ATT&CK, permitiendo establecer relaciones directas entre ataques y controles aplicables. A cada control se le asignó un peso en función de su frecuencia y relevancia frente a los vectores de ataque analizados. Posteriormente, estos controles fueron clasificados en niveles de implementación (IG1, IG2, IG3), siguiendo el enfoque propuesto por el CIS. Finalmente, se aplicó un análisis de Pareto utilizando el peso de los controles como si fuera su frecuencia relativa, permitiendo identificar el subconjunto de controles que abarca el 80% del impacto en la mitigación del riesgo, y por tanto deben considerarse prioritarios. Los resultados obtenidos permiten no solo estimar el nivel de exposición al ransomware, sino también priorizar la implementación de controles de acuerdo con el nivel de madurez de cada organización OT. El estudio se estructura desde la fundamentación teórica (Capítulo 2), el análisis del problema y desarrollo del artefacto (Capítulo 4), hasta su validación en una organización real (Capítulo 5), y las conclusiones y recomendaciones derivadas (Capítulo 7).

Ransomware has evolved since 2010 into a persistent and highly disruptive threat, affecting not only information technology (IT) environments but also operational technology (OT) systems, whose exposure has increased due to growing integration with corporate networks and the internet. These OT environments, characterized by the need for continuous availability, present specific challenges for the implementation of traditional cybersecurity controls, making them attractive targets for sophisticated attacks. In this context, a tool was developed to measure the level of ransomware exposure in organizations operating OT infrastructures. The methodological approach was based on the CIS Controls v8, which were cross-referenced with relevant cybersecurity frameworks and guidelines for industrial environments. Additionally, ten ransomware attacks were modeled using MITRE ATT&CK for ICS, allowing direct mapping between attack techniques and applicable controls. Each control was assigned a weight according to its frequency and relevance in relation to the analyzed attack vectors. Subsequently, the controls were classified by implementation groups (IG1, IG2, IG3) following the CIS framework. Finally, a Pareto analysis was applied, using control weight as a proxy for relative frequency, to identify the subset of controls representing 80% of the impact on risk mitigation—thus defining the most critical ones. The results not only allow the estimation of ransomware exposure but also support the prioritization of control implementation according to the organization's maturity level. This research is structured across theoretical foundations (Chapter 2), problem analysis and model development (Chapter 4), its validation in a real-world OT organization (Chapter 5), and the resulting conclusions and recommendations (Chapter 7).