Ciberseguridad industrial: un gran problema por resolver
Juan Luis Rubio
Vicerrector de la Universidad a Distancia de Madrid (UDIMA)
Solareseven. 123rf
Cuando a mediados de los años 90 se empezaba a oír hablar de virus, troyanos y otro software maligno que se propagaba a través de ya extintos disquetes, muy pocos fueron capaces de imaginar el impacto que tendría en nuestras vidas la tecnología. En esos momentos en que todo el mundo aspiraba a comprar un PC, o en el que aparecían los primeros móviles para consumo masivo, el concepto de seguridad informática se restringía al ordenador personal. Lo más precavidos e informados se instalaban pasaban un antivirus y asunto resuelto.
Aquellos días ya son historia y la tecnología es hoy día estructuralmente distinta. Ahora disponemos de móviles inteligente, tablets, notebooks, ebooks, smartwatches, smart TV….y otros dispositivos electrónicos que se conectan a internet e intercambian información entre ellos de manera natural. ¿Quién no ha abierto un video en Youtube y lo ha visualizado en su smart TV, lo ha grabado en su HDD y luego ha visionado ese video grabado en una tablet?
Pues esto que resulta normal para todos nosotros está arrastrando a la industria a una situación parecida. Antes de entrar en este tema, merece la pena hacer algo de historia.
En los años 90, cuando la tecnología avanzaba para llegar al gran público masivamente, la industria luchaba por conseguir dispositivos para el control de sus procesos. La incorporación de la electrónica y los sistemas de control digitales a la gran industria implicó una transformación en los sistemas productivos, que -aún hoy- no ha concluido. Hasta tal punto es así que prácticamente todos los sistemas de control industrial se basan en dispositivos digitales, sobre todo después del abaratamiento de costes y la estandarización de protocolos que han experimentado.
Ello permitió el desarrollo de sistemas SCADA, destinados a la agregación masiva de los datos generados en las cadenas de producción industrial, la proliferación de buses de comunicación industriales y la creación de aplicaciones software para el manejo de dispositivos industriales. El crecimiento de estos entornos industriales se ha visto aislado de la problemática que afectaba a los dispositivos usados por el gran público. El hecho de que las comunicaciones, las infraestructuras, las conexiones y en general los dispositivos funcionaran de forma aislada, -sin necesidad de hacer uso de internet-, generó unas infraestructuras industriales eficientes, bien controladas y con mecanismos de gestión autónomos e independientes de lo que ocurría en el exterior.
Se han puesto en el mercado herramientas que permiten el acceso a la gestión de los procesos industriales desde cualquier sitio con una simple conexión a internet
Pero si los dispositivos han tendido a la interconexión y a facilitar el acceso a la información en cualquier parte en cualquier instante, la evolución de la industria ha sido semejante, aunque más tardía. Y lo peor de todo, sin cambiar las infraestructuras de comunicaciones ni de seguridad: con el objetivo de gestionar los procesos productivos desde cualquier sitio, con cualquier dispositivo, se han puesto en el mercado herramientas que permiten el acceso a la gestión de los procesos industriales desde cualquier sitio con una simple conexión a internet.
Hay otros factores que también han influido. La cantidad de datos recolectados ha obligado a muchas empresas a buscar soluciones cloud para el almacenamiento y disponibilidad de estos. Ello es una buena opción para muchas industrias, pero deja una puerta abierta para colarse en las compañías y conocer datos sobre cómo operan.
No es tampoco desdeñable el papel que el B2B y el B2C han jugado en esta nueva situación. Forzar a las empresas a realizan transacciones electrónicas con proveedores y clientes ha empujado a que estas tengan que posicionarse en internet. Como todas las empresas tienden a integrar sus sistemas de gestión (producción, almacenes…) con sus canales de compra-venta, las empresas se han visto obligadas a conectar sus sistemas de fabricación y producción con sus sistemas de gestión y todo ello conectarlo con los nuevos canales de comunicación que las nuevas tecnologías permiten. Esto obliga a poner la infraestructura industrial a cargo del protocolo TCP/IP (núcleo de internet), independientemente de los protocolos industriales no securizados empleados.
Esto que en sí mismo es muy loable, no supone más que dejar la puerta abierta de las fábricas a cualquiera que desee acceder. Dado que las infraestructuras industriales no estaban pensadas para soportar arquitecturas de comunicación securizadas, encontramos que el número de ciberataques dirigidos contra la industria ha crecido exponencialmente en los últimos cinco años. Por poner sólo algunos ejemplos:
- Junio 2010: La empresa de seguridad informática Kaspersky denuncia la existencia de un gusano informático en los sistemas Windows capaz de adentrase en los PLC (sistemas de control industrial) modificando el comportamiento de los mismos. Los indicios apuntan a que el programa nuclear iraní fue retrasado debido a la información privilegiada que dicho gusano proveía a los servicios secretos estadounidenses e israelíes. Se considera este el primer ciberataque industrial entre estados soberanos.
- Mayo 2012: El virus Flamer, que se propaga a través de USB aparece en numerosos ordenadores de países de Oriente Próximo, Irán entre ellos. Los ataques se centran en plantas industriales de fabricación, y según los indicios está orientado al robo de información para, potencialmente, ser empleada por empresas competidoras.
- Diciembre 2014: La Oficina Federal de Seguridad alemana informa de un ciberataque a instalaciones metalúrgicas mediante ingeniería social (mails, tweets….) para ganarse la confianza de los empleados. A partir de las aceptaciones de invitaciones en dichos mensajes, los ciberatacantes consiguen información sobre la red y con ello a los sistemas de producción de la empresa: el resultado fue nefasto, como se indica en el informe pues supuso el apagado no controlado de uno de los hornos, causando unas pérdidas millonarias a la compañía.
- Diciembre 2015: Un grupo de programas denominado BlackEnergy utiliza una vulnerabilidad de PowerPoint para lanzar un ataque contra hidroeléctricas de Ucrania haciéndose con el control de los sistemas SCADA encargados de la recopilación de datos para la gestión del suministro eléctrico. Como consecuencia del ataque, un millón y medio de personas vieron afectado el fluido eléctrico durante las navidades de ese año.
Es una obligación para las empresas del sector industrial actualizarse en seguridad y sobre todo concienciar y formar a su personal
- Diciembre 2016: También en Ucrania, el troyano KillDisk infecta múltiples maquinas con Windows, eliminando un proceso del sistema utilizado por sistemas SCI (Sistemas de Control Industrial) por lo que el control de la fábrica en cuestión no resultaba factible. Una vez paralizado el proceso, sobrescribe el fichero ejecutable modificando parámetros de control y haciendo que el sistema sea ingobernable.
- 2017: Una marca de coches de Alemania, ve como uno de sus prototipos de coche eléctrico es hackeada por un ciberatacante y un periodista a través de internet. El mecanismo fue sencillo: desde cientos de kilómetros se ataca el móvil del conductor, el cual está conectado vía bluetooth con el coche. Una vez ha llegado al bluetooth del automóvil, alcanzar la centralita del mismo no es complicado. Resultado: es posible parar el coche a distancia, y hacerlo arrancar a voluntad del atacante.
- 2017: Un malware denominado Industroyer (juego de palabras entre industry y destroyer) utiliza un nuevo mecanismo de ataque. En esta ocasión el ataque se centra no en los sistemas de control propiamente dichos (es decir, los PC o en su defecto los PLC) sino en los sistemas de comunicaciones. Para ello intercepta los protocolos de comunicación industriales (diferentes a TCP/IP) para ejecutar acciones directamente sobre los interruptores, barras de estaciones eléctricas, válvulas de centrales (térmicas, de ciclo combinado…) y cualquier mecanismo de control que esté basado en dichos protocolos.
Y ¿cómo ha llegado el software hasta estos mecanismos? Pues nuevamente a través del protocolo TCP/IP de las máquinas de la fábrica o industria que están conectados a internet.
El mundo de la seguridad en la industria es mucho más crítico que el de la seguridad en los sistemas de información. Y esto es así porque los sistemas críticos no manejan intangibles como la información sino recursos materiales y/o naturales como el agua, el petróleo, las minas, la electricidad entre otros. Y el resultado de la manipulación incorrecta de estos elementos se traduce en un ataque físico a la sociedad, como en el caso de Ucrania, o como en otro caso de Australia, en el que un empleado despedido con acceso remoto a los sistemas de control, se encarga de abrir todas las compuertas y vaciar las presas de agua.
Como vemos son muchos los casos que han ocurrido. Es por ello una obligación para las empresas del sector industrial actualizarse en seguridad y sobre todo concienciar y formar a su personal. Toda protección es poca.
Otros artículos del autor: