Incidentes en los Sistemas de Control Industrial

En el post anterior, hable sobre las amenazas que se ciernen sobre los Sistemas de Control Industrial (SCI) y de cómo algunas herramientas que existen en el mercado pueden ayudar a explotar sus vulnerabilidades. Enlazando un poco con el tema y aprovechando la interesantísima ponencia sobre seguridad de la información que nos ofrecieron la semana pasada, me gustaría adentrarme un poco más en el impacto y consecuencias que podría tener un incidente en este tipo de sistemas. Ya no sólo en la organización, sino también en la propia sociedad, llegando incluso a poder poner en peligro vidas humanas o afectar al medioambiente.

Si echamos un vistazo al informe anual sobre amenazas de la compañía Dell podemos ver que el año pasado se registraron el doble de ataques en los sistemas SCADA en comparación al 2013 y que la mayoría de ellos tuvieron lugar en Finlandia, Reino Unido y Estados Unidos. Podríamos decir entonces, que los ataques contra dichos sistemas son “reales” y están en el ojo del huracán, aunque muchas veces pasan desapercibidos para nosotros, los usuario de a pie. Esta laguna de información se debe a que las empresas solo suelen reportar las brechas que involucran datos del personal o a informaciones de pagos. Actualmente no existe una ley europea sobre “ciberseguridad” y sólo los operadores de telecomunicaciones están sujetos a requisitos de notificación de incidentes. Esperemos que esto cambie con la aprobación de la llamada Directiva sobre la Seguridad de las Redes y los Sistemas de Información (SRI), que les obligará a adoptar medidas estrictas de seguridad y a informar a las autoridades nacionales de violaciones de seguridad graves en sus redes y sistemas. A ver si es verdad, y de una vez por todas salimos de la sombras y empezamos a hacer las cosas de manera transparente.

Este tipo de amenazas suelen ser de naturaleza política y su objetivo es hacerse con las capacidades operativas de plantas energéticas, refinerías, gasoductos, etc. La diferencia con los ataques informáticos tradicionales que producen un daño “no físico”, es que los dirigidos a este tipo de sistemas pueden afectar no sólo a los datos corporativos, sino también producir daños “físicos” significativos, haciendo de estos un objetivo especialmente atractivo para los hackers de otros países. Los ataques de denegación de servicio, malware o la explotación exitosa de alguna vulnerabilidad podrían tener impactos de diversa índole. Vamos a ver cuáles serían algunos de los más relevantes:

• Impactos sobre la seguridad física y el entorno: Este tipo de impactos pueden ser muy críticos por la pérdida de vidas humanas o lesiones personales. Incluyendo también el daño hacia el medio ambiente.
• Impactos económicos: Las pérdidas económicas pueden afectar al correcto funcionamiento de la empresa, debido a daños en dispositivos o infraestructuras, o bien llegando a parar la producción o distribución del servicio.
• Impactos sociales y mediáticos: La pérdida de confianza en una organización afecta directamente a su imagen lo que se traduce en pérdida de clientes, de crecimiento y de competitividad.

Una vez vistos los impactos que pueden darse si se produce un incidente, nos podemos hacer una idea de que la lista de posibles consecuencias es enorme. Entre ellas podemos encontrar algunas como la reducción o pérdida de producción, daños en el equipamiento, lesiones a personas, violación de la legislación, contaminación, pérdida de información confidencial, y así un larguísimo etc. Aunque esto nos pueda parecer lejano y nos suene un poco a ciencia ficción, todos estos impactos y consecuencias tienen su correspondiente traducción al mundo real, y si no, hagamos un pequeño repaso de los incidentes más relevantes que se han dado hasta el momento.

• En 1982 la CIA se vio envuelta en la venta de equipos ‘alterados’ a la Unión Soviética. Un Troyano camuflado causó una explosión en un gaseoducto transiberiano.
• En 1985 la fuga de químicos en la empresa Union Carbide en Virginia fue uno de los primeros incidentes detectados y confirmados de la historia en el que 134 personas tuvieron que ser hospitalizadas.
• En 2000 un ex empleado de la planta de tratamiento de aguas de Maroochy en Australia fue acusado de acceso ilegal al sistema de control de alcantarillado del Condado tras ser despedido. El resultado, litros y litros de aguas residuales vertidas en ríos y parques.
• En 2003 el gusano Slammer infectó la central nuclear de Davis-Besse en Ohio, afectando a varios SCI causando problemas en el sistema de monitorización de seguridad y bloqueando el sistema durante varias horas. El gusano se introdujo a través de un ordenador portátil de una subcontrata.
• En 2010 se detectó Stuxnet en centrales nucleares. Gracias a la explotación de vulnerabilidades de día cero, logró parar la central nuclear de Natanz en Irán, destruyendo una quinta parte de los centrifugadores nucleares.
• En 2012 la petrolera Saudi Aramco, sufrió el peor ciberataque de la historia en el que 35.000 ordenadores fueron borrados y la capacidad de la compañía para suministrar el 10% del petróleo de todo el mundo estuvo en peligro.
• En 2014 un ataque dirigido a una importante empresa siderúrgica alemana provocó graves daños a la misma. Los atacantes utilizaron phishing e ingeniería social para acceder al sistema.

Creo que ya ha quedado claro con los ejemplos expuestos, que las intrusiones son posibles y se dan en infraestructuras de todos los países llegando a causar graves destrucciones físicas. Si repasamos la cronología observaremos que las amenazas en los sistemas de control no son algo nuevo y han existido desde que estos se implantaron. Aprender de ellas, como en el caso de la planta de tratamiento de aguas de Maroochy (donde un simple cambio de las contraseñas habría evitado el incidente) es vital para no tropezar dos veces en la misma piedra. Lo que me parece preocupante es el creciente desarrollo de herramientas que permiten divulgar información sensible que facilita la explotación de las mismas y coincido con la opinión de los expertos, en que la evolución de este tipo de ataques ira en aumento. Esperemos que las compañías se preparen a conciencia ante su inminente proliferación……