La polémica sobre si las centrales nucleares son seguras ha estado vigente desde hace mucho tiempo y el reciente accidente de la central de Fukushima, que, en el momento de escribir estas líneas aun se encuentra lejos de estar controlado, no ha hecho más que reavivar esta polémica. Cierto es que resultará difícil que se vuelvan a producir las condiciones que han ocasionado los problemas de la central japonesa. Recordemos que un terremoto de magnitud 9 en la escala de Richter y un tsunami con olas de hasta 10 metros de altura no son, por suerte, nada frecuentes. Así y todo, muchos países están estudiando revisar seriamente sus centrales nucleares, mientras grupos ecologistas abogan por la eliminación total de esta fuente de energía.
La seguridad física de las centrales nucleares es algo que se está debatiendo intensamente estos días, mas aun en España donde tenemos incidentes registrados donde activistas de grupos ecologistas consiguieron acceder al perímetro interior de varias centrales, siendo el caso más reciente el de la central de Cofrentes. Pero, además de la seguridad física también deberíamos empezar a plantearnos si la seguridad lógica de estas centrales también es mejorable.
Todos conocemos a estas alturas el caso Stuxnet y como, usando diferentes vulnerabilidades, se consiguió introducir un malware en las instalaciones dedicadas a enriquecer uranio en Irán. ¿Qué pasaría si se usasen esos conocimientos para atacar los sistemas críticos de gestión de una de nuestras centrales nucleares? Varios investigadores, como el español Rubén Santamarta han expuesto muchas veces los problemas a los que se enfrentan los sistemas Scada de gestión de infraestructuras críticas. Sin ir más lejos, en la pasada Rooted Con celebrada a principios de marzo en Madrid, expuso en una interesante ponencia como ya existe la capacidad para atacar infraestructuras de generación y distribución de energía eléctrica, centrales nucleares incluidas.
La situación se agrava cuando conocemos que muchas vulnerabilidades para algunos de los sistemas Scada que controlan estas infraestructuras críticas, son públicas, mostradas por los investigadores que las han descubierto con la intención de que sean solucionadas lo antes posible, aunque algunas empresas ya han visto la posibilidad de negocio y ya han empezado a aparecer packs de exploits para sistemas Scada a la venta. Aquí es donde nos encontramos uno de los mayores problemas de estos sistemas y es que, durante demasiado tiempo han aplicado la máxima de “seguridad por oscuridad” para evitar ser víctimas de ataques. Pero tras el descubrimiento de Stuxnet, todo ese panorama ha cambiado y las empresas que desarrollan este tipo de software deben trabajar duro para ponerse al día y evitar que se produzcan accidentes en los sistemas que gestionan.
Así las cosas, desde el Laboratorio de ESET en Ontinet.com esperamos que las compañías que desarrollan sistemas Scada traten de mejorar la seguridad de los mismos. En este apartado de mejorar la seguridad, se ha de tener muy en cuenta la labor de los investigadores independientes ya que juegan un papel muy importante, puesto que la mayoría de las vulnerabilidades son descubiertas por ellos.
Josep Albors