La conveniencia y posibilidades de la gestión y monitoreo de sistemas de control industrial a través de las redes informáticas tradicionales, representa una de las tendencias en ataques informáticos que más ocupa a los especialistas. La conectividad supone beneficios pero también riesgos, y estos deben ser correctamente gestionados si se desea evitar un impacto real en las infraestructuras criticas de suministro de servicios como agua, luz, gas, combustibles, transporte, y plantas industriales en general. Las fallas en estos sistemas impactan severamente en el bienestar económico y social de las personas.
El sector energético, por señalar una industria en particular, evolucionará como producto de grandes transformaciones en la forma en que es generada y distribuida la electricidad. La creciente demanda y la tendencia descentralizadora de la producción energética en manos de nuevos agentes y métodos, crea la necesidad de unir las redes físicas y virtuales para interconectar y eficientizar la distribución y control del abastecimiento a partir de las fluctuaciones naturales entre oferta y demanda.
A su vez, la evidencia demuestra un creciente interés de los cyberdelincuentes por los protocolos SCADA, utilizados por los sistemas informáticos encargados de comunicarse con los sistemas de control industrial que gestionan, controlan y operan los procesos, componentes y maquinarias de planta.
Esta tendencia se manifiesta de diversas maneras: Por un lado, programas informáticos maliciosos que se hacen pasar como aplicaciones validas de las empresas que desarrollan sistemas industriales como Siemens o Allen Bradley. Por otro lado, aplicaciones que exploran las redes en búsqueda de protocolos SCADA específicos, en evidente señal de estar recabando información para ser utilizada en tareas de inteligencia, una actividad habitual en las primeras etapas de un ataque dirigido.
Tal como surge de un estudio realizado por la Organización de Estados Americanos (OEA) y Trend Micro, el 53% de las instituciones publicas y privadas americanas ha sido víctima de mayores intentos de ataques informáticos, el 73% ha mencionado que los ataques se han vuelto más sofisticados y el 43% ha detectado o sido víctima de incidentes que intentaron afectar su infraestructura física.
Los hechos
En 2010, Stuxnet fue una de las primeras armas cyberneticas dotada con capacidades de sabotaje y espionaje. Se la cree responsable de haber afectado una planta de enriquecimiento de uranio en la ciudad de Natanz, Irán. Esta amenaza era capaz de reemplazar un archivo especifico del software WinCC de Siemens encargado de comunicarse con los componentes industriales, pudiendo enviar instrucciones de funcionamiento arbitrarias y maliciosas cada vez que el sistema intentaba enviar las legitimas.
Estas armas digitales se materializan en complejos kits de explotación basados en códigos maliciosos, también llamados virus o malware, que son desarrollados por expertos y exclusivamente para el fin deseado. Su éxito radica en abusar de las fallas de seguridad presentes en los sistemas y redes informáticas que no han podido ser correctamente mitigadas por las organizaciones o empresas usuarias.
Ya en 2012, uno de los responsables de IT de la petrolera Shell daba a conocer un incremento en la cantidad de ataques cyberneticos con fines criminales.
En diciembre de 2014, la Oficina Federal de Seguridad de la Información alemana, dio a conocer el caso de una empresa de acero de ese país en donde fueron comprometidas las redes informáticas de sus oficinas, para luego ganar acceso a las redes que controlan los sistemas productivos. Este incidente produjo fallas frecuentes en los componentes industriales, culminando en la incapacidad de apagar adecuadamente uno de los hornos utilizados para la producción de acero y generando graves daños a la planta.
Havex, otro de los kits de ataques conocidos por tener como objetivo los sistemas de control industrial o ICS (Industrial Control System por sus siglas en inglés), intenta vulnerar los sitios oficiales de descarga de los programas de gestión de los procesos industriales para reemplazarlos por versiones modificadas con los códigos dañinos.
En distintas ocasiones, los investigadores han comprobado la existencia de ataques activos que han logrado:
- Interceptar comunicaciones legitimas entre sistemas SCADA y los dispositivos de producción que controlan.
- Solicitudes de lectura no autorizadas de Sistemas PLC de control industrial.
- Solicitudes de escritura no autorizadas en Sistemas PLC de control industrial.
Este tipo de amenazas son solo posibles con una combinación de elevados conocimientos informáticos y de los procesos industriales subyacentes. Sin embargo, mientras que hoy son pocos los cyberdelincuentes y cyberterroristas con estas habilidades, el conocimiento se dispersa rápidamente y los ataques que hoy son complejos se vuelven luego más sencillos y automatizados, aumentando su cantidad de incidencias por causa de un mayor número de cyberdelincuentes con las herramientas necesarias para ejecutar dichos ataques. Otro actor importante a considerar son las Naciones, ya que los hechos sugieren que algunas de ellas apoyan este tipo de iniciativas como parte de sus estrategias de cyberguerra.
El problema
En este contexto, el problema no radica exclusivamente en la existencia de aquellos que buscan hacer daño u obtener un beneficio económico, empresarial o político mediante la ejecución de estos ataques avanzados. En ultima instancia poco podemos hacer para deponer por completo su actitud, lo que nos deja con el verdadero problema actual: ¿Qué estamos haciendo para proteger nuestras infraestructuras criticas de servicio y producción?
La estrategias de seguridad en los sistemas informáticos de control industrial suelen comenzar a diseñarse e implementarse solo como una respuesta reactiva una vez que el incidente ha ocurrido. Es cierto que cuando estos sistemas fueron puestos en servicio, la seguridad informática no era una preocupación dado que carecían de conexiones remotas a través de las redes internas o desde Internet y la separación física evitaba cualquier posible acceso a quien no estaba allí presente para operar los sistemas de control y gestión.
Aunque existen excelentes propuestas y programas de distintos gobiernos latinoamericanos, preocupa la falta generalizada de consideración por parte de los altos mandos de organizaciones publicas y privadas sobre el riesgo que enfrentan los sistemas en la medida que son integrados a las redes informáticas. Además, quienes están actuando en favor de combatir proactivamente este creciente escenario de amenazas, deben enfrentarse con el contexto económico de nuestras naciones, que dificulta la disponibilidad de los recursos necesarios para apoyar sus iniciativas.
A pesar de las adversidades, se destacan proyectos argentinos como el Programa Nacional de Infraestructuras Criticas de Información y CyberSeguridad (ICIC), que presenta un marco de acción coordinado para capacitar, fomentar el intercambio de información, prevenir, y actuar en situaciones de riesgo informático.
La colaboración entre el sector público y privado en apoyo a las iniciativas gubernamentales para la definición y aplicación de estrategias de cyberdefensa, constituye la opción única y fundamental para combatir el escenario cyberterrorista incumbente. La responsabilidad esta en manos de todos: Gobierno, empresas, y especialistas en la materia.
