El ataque cibernético del año pasado contra una planta de agua en Illinois, Estados Unidos, no tuvo repercusiones muy graves. El servicio de agua tuvo una interrupción corta, y a la larga no hubo daños mayores que el necesario remplazo de una bomba de agua.
Sin embargo, impacta que el ataque haya originado supuestamente desde una dirección IP en Rusia, y más aún si se tiene en cuenta un ataque anterior a ese que sí recibió mucha atención mundial, ya que se trataba del troyano Stuxnet, que infiltró el programa nuclear iraní y logró causar tanto daño que supuso un atraso de años sobre el programa.
Lo que ilustran ambos casos es que no solo vivimos en un mundo donde hay cada vez más dispositivos conectados a Internet, sino que servicios básicos como los que proveen plantas de agua y plantas eléctricas también han abierto las compuertas de sus sistemas al océano informático.
Ya sea para lograr una mejor eficiencia o niveles de comunicación entre el personal que dirige estos mecanismos, la realidad es que sus sistemas de control, y específicamente los sistemas que usan plataformas SCADA (Supervisory Control and Data Acquisition) son altamente vulnerables a infiltraciones y ataques desde afuera.
Las lecciones que dejan los ataques a la planta de agua en Illinois y a las centrales nucleares de Irán no son muchas, ya que las consecuencias inmediatas son algo conocido (daños y retrasos), pero sus causas y la forma como ocurrieron aún son un misterio.
En primer lugar, hay que notar que los expertos de seguridad en sistemas industriales aún no están completamente de acuerdo en cuanto a qué fue exactamente lo que sucedió en Illinois. De acuerdo con el reporte de ICS-CERT (Industrial Control Systems Cyber Emergency Response Team) la evidencia que encontraron no apoya la sospecha de un ataque cibernético.
En el caso del IP que originaba en Rusia, parece que en realidad era un contratista para la misma empresa de servicios públicos de Illinois, pero se encontraba de viaje en Rusia. Según el periódico Government Security News, el ‘ataque’ fue en realidad un error del contratista, que había accedido de forma remota al sistema SCADA para probar el sistema, causando la falla.
Por otro lado, los expertos que se enfocan en el diseño y la ingeniería de estos sistemas aseguran que la bomba de agua que falló nunca habría fallado simplemente al prenderla y apagarla repetidamente (que fue la supuesta causa original del fallo, de acuerdo con los reportes oficiales).
En este caso, se hubiese necesitado más que la simple repetición de un comando, habría tenido que existir un fallo de fábrica en los equipos. Ya que la investigación final no ha sido completada y sus descubrimientos no se han anunciado, queda por ver finalmente qué fue lo que sucedió en Illinois.
Pero esos detalles son suficientes para inferir que hay un problema sistemático en la manera que se administran y reparten los derechos de acceso a estos sistemas (si un mero contratista podía acceder al sistema central desde Rusia).
En ese sentido, el intercambio de información es el primer aspecto en el que las industrias de servicios y utilidades podrían proteger sus sistemas. Con un programa concreto de administración sobre la información sensible (contraseñas, nombres de usuario, direcciones IP, puertas traseras, etc.), se podría evitar una posible fuga de información a terceros.
Por otro lado, preocupa lo vulnerables que son la mayoría de estos sistemas. Tan solo un mes después del fallo en la bomba de agua, ICS-CERT anunciaba debilidades en Kingview, una plataforma de control SCADA usada en redes para las industrias de minería, agua, electricidad y automatización de edificios.
Y una búsqueda rápida en Google ofrece cientos de resultados que enlazan a reportes similares. Es decir, no hacen falta empresas de monitoreo de seguridad (en muchos casos, los hackers que encuentran las debilidades son los mismos que las someten al escrúpulo de las empresas de seguridad, algo así como ‘hackers altruistas’).
Lo que sí hace falta en la mayoría de los casos alrededor del mundo son fondos. Por ejemplo en Illinois, donde la crisis financiera ha desatado recortes presupuestales, simplemente no había fondos para reclutar los servicios de una empresa de seguridad, y mucho menos para emplear al personal extra que hubiese sido necesario.
Hay que suministrar a las empresas de servicios públicos y utilidades con los fondos necesarios para adquirir las herramientas que asegurarían los sistemas SCADA. En el caso de empresas privadas, los consumidores deben exigir políticas similares para salvaguardar la integridad de sus servicios.
Sin embargo, tras el campanazo que supuso el incidente de Illinois, la industria ha comenzado a tomar medidas para fortalecer los sistemas SCADA. Pero construir la defensa de estos sistemas representa muchos desafíos, como indica Amol Sarwate, director de investigación de seguridad en Qualys (empresa dedicada a la seguridad de redes corporativas e industriales).
Principalmente, escribe Sarwate, los sistemas SCADA presentan la mayor vulnerabilidad cuando se trata el tema de las contraseñas y la autenticación. Dejan mucho qué desear en cuanto a la administración de contraseñas y la falta de autenticación, debido a que estos sistemas no estaban conectados a Internet, entonces no hacía falta tomar medidas de seguridad.
Además, destaca la longevidad de los sistemas, ya que están diseñados para durar muchos años. Ya que administran de todo, desde el sistema de semáforos a trenes subterráneos, puentes, subestaciones eléctricas y muchas cosas que hacen parte de una infraestructura con décadas de antigüedad, su actualización es un problema difícil de encarar, por no decir imposible.
Pero si el incidente de Illinois activó a la industria a enfocarse en analizar mejor todos los sistemas SCADA para encontrar vulnerabilidades, también puede suponerse que aquellos con intenciones maliciosas también recibieron el mensaje, y es de esperarse que haya más intentos de ataques como el de Stuxnet en Irán, por sofisticado que haya sido en su momento.
Y esto ocurre en un país del primer mundo. ¿Qué puede estar pasando en regiones como Latinoamérica?
La pregunta es si todos los paises estan preparados para este tipo de ataques ciberneticos y si tienen los recursos suficientes para prevenirlos o protegerse adecuadamente.
La pregunta es si todos los paises estan preparados para este tipo de ataques ciberneticos y si tienen los recursos suficientes para prevenirlos o protegerse adecuadamente.