El ataque cibernético del año pasado contra una planta de agua en Illinois, Estados Unidos, no tuvo repercusiones muy graves. El servicio de agua tuvo una interrupción corta, y a la larga no hubo daños mayores que el necesario remplazo de una bomba de agua.

Sin embargo, impacta que el ataque haya originado supuestamente desde una dirección IP en Rusia, y más aún si se tiene en cuenta un ataque anterior a ese que sí recibió mucha atención mundial, ya que se trataba del troyano Stuxnet, que infiltró el programa nuclear iraní y logró causar tanto daño que supuso un atraso de años sobre el programa.

Lo que ilustran ambos casos es que no solo vivimos en un mundo donde hay cada vez más dispositivos conectados a Internet, sino que servicios básicos como los que proveen plantas de agua y plantas eléctricas también han abierto las compuertas de sus sistemas al océano informático.

Ya sea para lograr una mejor eficiencia o niveles de comunicación entre el personal que dirige estos mecanismos, la realidad es que sus sistemas de control, y específicamente los sistemas que usan plataformas SCADA (Supervisory Control and Data Acquisition) son altamente vulnerables a infiltraciones y ataques desde afuera.

Las lecciones que dejan los ataques a la planta de agua en Illinois y a las centrales nucleares de Irán no son muchas, ya que las consecuencias inmediatas son algo conocido (daños y retrasos), pero sus causas y la forma como ocurrieron aún son un misterio.

En primer lugar, hay que notar que los expertos de seguridad en sistemas industriales aún no están completamente de acuerdo en cuanto a qué fue exactamente lo que sucedió en Illinois. De acuerdo con el reporte de ICS-CERT (Industrial Control Systems Cyber Emergency Response Team) la evidencia que encontraron no apoya la sospecha de un ataque cibernético.

En el caso del IP que originaba en Rusia, parece que en realidad era un contratista para la misma empresa de servicios públicos de Illinois, pero se encontraba de viaje en Rusia. Según el periódico Government Security News, el ‘ataque’ fue en realidad un error del contratista, que había accedido de forma remota al sistema SCADA para probar el sistema, causando la falla.

Por otro lado, los expertos que se enfocan en el diseño y la ingeniería de estos sistemas aseguran que la bomba de agua que falló nunca habría fallado simplemente al prenderla y apagarla repetidamente (que fue la supuesta causa original del fallo, de acuerdo con los reportes oficiales).

En este caso, se hubiese necesitado más que la simple repetición de un comando, habría tenido que existir un fallo de fábrica en los equipos. Ya que la investigación final no ha sido completada y sus descubrimientos no se han anunciado, queda por ver finalmente qué fue lo que sucedió en Illinois.

Pero esos detalles son suficientes para inferir que hay un problema sistemático en la manera que se administran y reparten los derechos de acceso a estos sistemas (si un mero contratista podía acceder al sistema central desde Rusia).

En ese sentido, el intercambio de información es el primer aspecto en el que las industrias de servicios y utilidades podrían proteger sus sistemas. Con un programa concreto de administración sobre la información sensible (contraseñas, nombres de usuario, direcciones IP, puertas traseras, etc.), se podría evitar una posible fuga de información a terceros.

Por otro lado, preocupa lo vulnerables que son la mayoría de estos sistemas. Tan solo un mes después del fallo en la bomba de agua, ICS-CERT anunciaba debilidades en Kingview, una plataforma de control SCADA usada en redes para las industrias de minería, agua, electricidad y automatización de edificios.

Y una búsqueda rápida en Google ofrece cientos de resultados que enlazan a reportes similares. Es decir, no hacen falta empresas de monitoreo de seguridad (en muchos casos, los hackers que encuentran las debilidades son los mismos que las someten al escrúpulo de las empresas de seguridad, algo así como ‘hackers altruistas’).

Lo que sí hace falta en la mayoría de los casos alrededor del mundo son fondos. Por ejemplo en Illinois, donde la crisis financiera ha desatado recortes presupuestales, simplemente no había fondos para reclutar los servicios de una empresa de seguridad, y mucho menos para emplear al personal extra que hubiese sido necesario.

Hay que suministrar a las empresas de servicios públicos y utilidades con los fondos necesarios para adquirir las herramientas que asegurarían los sistemas SCADA. En el caso de empresas privadas, los consumidores deben exigir políticas similares para salvaguardar la integridad de sus servicios.

Sin embargo, tras el campanazo que supuso el incidente de Illinois, la industria ha comenzado a tomar medidas para fortalecer los sistemas SCADA. Pero construir la defensa de estos sistemas representa muchos desafíos, como indica Amol Sarwate, director de investigación de seguridad en Qualys (empresa dedicada a la seguridad de redes corporativas e industriales).

Principalmente, escribe Sarwate, los sistemas SCADA presentan la mayor vulnerabilidad cuando se trata el tema de las contraseñas y la autenticación. Dejan mucho qué desear en cuanto a la administración de contraseñas y la falta de autenticación, debido a que estos sistemas no estaban conectados a Internet, entonces no hacía falta tomar medidas de seguridad.

Además, destaca la longevidad de los sistemas, ya que están diseñados para durar muchos años. Ya que administran de todo, desde el sistema de semáforos a trenes subterráneos, puentes, subestaciones eléctricas y muchas cosas que hacen parte de una infraestructura con décadas de antigüedad, su actualización es un problema difícil de encarar, por no decir imposible.

Pero si el incidente de Illinois activó a la industria a enfocarse en analizar mejor todos los sistemas SCADA para encontrar vulnerabilidades, también puede suponerse que aquellos con intenciones maliciosas también recibieron el mensaje, y es de esperarse que haya más intentos de ataques como el de Stuxnet en Irán, por sofisticado que haya sido en su momento.

Y esto ocurre en un país del primer mundo. ¿Qué puede estar pasando en regiones como Latinoamérica?

Los hackers están atacando en muchos frentes, desde el blanco obvio que son los sitios web hasta plantas nucleares como la iraní, y ahora también hasta servicios vitales como el agua. Recientemente un grupo de hackers atacó el programa encargado del bombeo de agua en la ciudad de Springfield, Illinois. La historia, que parece salida de un capítulo de Los Simpsons, se encuentra en investigación, pues a partir de la suspensión y el reinicio del sistema, terminó en una gran falla.

¿Con que objetivo se hizo este ataque? En realidad los hackers no deseaban perjudicar a las 2.200 personas de la ciudad, sino mostrar la vulnerabilidad del sistema y cómo deberían implementarse mejoras para evitar ataques reales. En otras palabras, por fortuna para la población, se trató de hackers éticos.

Las agencias de inteligencia de Estados Unidos declaran que los hackers lograron entrar al sistema SCADA (Control de Supervisión y Adquisición de Datos) con contraseñas y nombres de usuario robados a la empresa que se encarga de la seguridad del sistema de bombeo.

Los resultados del ataque ejecutado el pasado 8 de noviembre, fueron publicados tres días antes por un hacker con el nick pr0f mostrando información encontrada no solo sobre esta planta, sino sobre el tratamiento de aguas residuales de una planta en Polonia.

Según los rastreos de inteligencia estadounidense, los ataques provinieron de una dirección en Rusia y se dieron en varias ocasiones, solo que los encargados de la planta de bombeo de agua no prestaron la atención debida al hecho.  “En este momento no hay datos creíbles y corroborables que indiquen riesgos a entidades de infraestructura críticas o amenazas a la seguridad pública”, comentó Peter Boogaard, vocero del Departamento de seguridad a BBC News.

También este hacker publicó datos de la medición de agua de España y Portugal, todo para demostrar, como expresó en un correo enviado a ZDNet Australia, los descuidos que hay en los sistemas: “Hay un montón de información basura por ahí que está siendo tratada seriamente. Así que voy a publicar información para mostrar a la gente qué tipo de sistemas son vulnerables a ataques básicos”.

En lo publicado por ZDNet se pueden ver imágenes de la planta de agua que fue atacada en Ilinois, como prueba de lo que se podría hacer en la planta, junto con la idea de que el hacker pr0f lo que busca no es hacer vandalismo sino mostrar las fallas del sistema: “En cuanto a cómo lo hice, por lo general es una combinación de una mala configuración de los servicios, la elección de contraseñas incorrectas y la inexistencia de restricciones sobre quién puede acceder a interfaz”.

Con esto se demuestra una vez más que hay brechas en los sistemas de seguridad de todo tipo de organizaciones, y que los hackers, más activos –o numerosos– que nunca, están allí para evidenciarlas, ya sea con fines loables como es advertir a las autoridades o a los dueños acerca de ellas, como para ejecutar fines delictivos. Las organizaciones que no hayan tomado con total seriedad la seguridad informática están más expuestas que nunca.

Notas relacionadas:

• Anonymous ataca y publica información de pedófilos.
• Alarma en WikiLeaks: bloqueo del sector financiero la tiene asfixiada.
• El FBI, a la caza de los ‘hackerazzi’ de Hollywood.
• Virus informático ataca flota de aviones no tripulados en Estados Unidos.