Estado de la ciberseguridad en sistemas de control industrial

Los sistemas de control industrial, especialmente aquellos que afectan a infraestructuras críticas como las estaciones eléctricas, llevan años en el ojo del huracán. Investigadores especializados en seguridad informática han ido descubriendo desde hace tiempo amenazas dirigidas a estos sistemas, amenazas que han llegado incluso a las portadas de los medios generalistas, planteando un panorama nada esperanzador a la sociedad.

Un poco de historia

Los sistemas de control industrial llevan mucho tiempo entre nosotros y están siendo utilizados por todo tipo de empresas, ya estén relacionadas con infraestructuras críticas o no. Es un mundo desconocido por el gran público que solo se preocupa cuando ve que alguno de estos sistemas provoca un incidente que afecta a su vida cotidiana.

La realidad es que estos sistemas de control industrial fueron diseñados para funcionar durante largos periodos de tiempo en todo tipo de condiciones, normalmente aislados de cualquier red que no fuera la interna de la propia empresa o infraestructura que se encargaba de controlar.

Todo eso cambió cuando se empezaron a conectar estos sistemas a redes relativamente más públicas, por conveniencia o simple reducción de costes. Además, la información acerca del funcionamiento de estos sistemas empezó a hacerse pública (o, al menos, no tan difícil de encontrar como lo era hace décadas) y muchos empezaron a revisar los posibles agujeros de seguridad de sistemas que no fueron especialmente diseñados para prevenir ataques externos.

Se ha escrito mucha literatura sobre sabotajes a instalaciones industriales, y no son pocos los que apuntan al incidente del gasoducto transiberiano de 1982 como uno de los primeros ejemplos de sabotaje industrial realizado mediante una bomba lógica alojada en uno de los sistemas de control supuestamente utilizado en esas instalaciones. No obstante, conjuntamente a esta creencia popular existen versiones que contradicen la versión “oficial” de la CIA y apuntan a una explosión provocada por una mala construcción en lugar de un sabotaje.

Nadie duda que durante la Guerra Fría se pudieron producir operaciones de este tipo, pero ni los sistemas industriales eran los mismos que se utilizan ahora ni la forma de atacarlos tenía nada que ver con lo que se realiza actualmente.

Ataques modernos

La sociedad vivió prácticamente ajena a este tipo de ataques hasta verano de 2010, fecha en la cual se desveló la existencia de Stuxnet, una amenaza muy avanzada que fue diseñada específicamente para retrasar todo lo posible el programa nuclear Iraní. El éxito que obtuvo este código malicioso, así como las técnicas usadas para conseguir su objetivo y la implicación de dos naciones como Estados Unidos e Israel en su desarrollo, sirvió para desvelar que habíamos entrado en una nueva era en las que ya no podíamos considerar 100% seguras frente a un ciberataque según qué infraestructuras controladas por sistemas de control industrial.

Fue a partir de ese momento cuando la gran mayoría de nosotros nos dimos cuenta de que los sistemas industriales que controlan todo tipo de instalaciones podían ser víctimas de este tipo de ataques, aunque con la euforia inicial no se distinguió entre las que aplicaban medidas de seguridad robustas frente a las que no lo hacían y se metió a todo el sector en el mismo saco.

Fruto de las investigaciones que se realizaron a partir de Stuxnet, vimos que esta no era la única amenaza desarrollada con la finalidad de atacar estos sistemas y que incluso se podían relacionar diversas amenazas entre ellas, tal y como fue el caso de Duqu y Flame con respecto a Stuxnet.

Una de las consecuencias provocadas por estas amenazas es que desde entonces cualquier incidente en un sistema industrial, especialmente si se trata de una infraestructura crítica, es mirado con lupa por los medios para ver si hay alguna posibilidad de que exista una ciberamenaza involucrada. Esto ha dado lugar a aumentar una paranoia muchas veces infundada, especialmente cuando en el incidente está involucrado una central nuclear.

Podría parecer que este tipo de instalaciones son especialmente vulnerables a los ciberataques, al menos si hacemos caso a lo que se ha escrito en la prensa durante los últimos años, pero esto no suele ser así. La detección de un malware común como Conficker o Ramnit en algunos sistemas de una central nuclear alemana no tiene una consecuencia en su seguridad, por mucho que algunos se empeñen en magnificar el ataque.

Otra cosa son ataques que, bien intencionadamente o como consecuencia del mismo, provocan un daño físico a la empresa atacada. Un ejemplo de esto lo tenemos en el caso de la metalúrgica alemana que, tras ver cómo algunos de sus sistemas fueron infectados, comprobó que uno de los hornos dejó de funcionar correctamente.

Tal vez, los casos más sonados que hemos vivido recientemente son los que afectaron a empresas del sector eléctrico en Ucrania durante diciembre de 2015 y 2016. Los análisis de estos ataques han demostrado que en 2015 se utilizó el malware BlackEnergy, usando para distribuirlo correos electrónicos que adjuntaban ficheros Excel con macros maliciosas.

Sin embargo, en los ataques de diciembre de 2016 se usó un ataque completamente distinto y eso nos lleva al siguiente punto.

Industroyer, el siguiente paso

En el informe que ESET acaba de publicar sobre la amenaza Industroyer vemos como todo apunta a que fue este malware y no BlackEnergy el responsable de los apagones en Ucrania en diciembre de 2016. También vemos con detalle lo avanzado de este malware modular y que, en lugar de infectar los sistemas de control industrial usados en centrales eléctricas, utiliza los protocolos de comunicación industrial para realizar acciones maliciosas.

Estos protocolos se crearon hace décadas y en ese momento no se pensó en la seguridad lógica, puesto que la idea era que los sistemas industriales estuvieran aislados del mundo exterior. Por ese motivo, los atacantes que utilizaron Industroyer no necesitan buscar vulnerabilidades en los protocolos. Tan solo deben enseñar al malware a hablar el mismo lenguaje.

Una de las peculiaridades de Industroyer, la cual lo distingue de otras familias de malware que también tienen como objetivo infraestructuras críticas, es que utiliza cuatro componentes maliciosos para obtener el control directo de los interruptores y disyuntores de una subestación eléctrica. Cada uno de estos componentes está pensado para afectar a un protocolo de comunicación industrial, protocolos que vienen especificados en los siguientes estándares: IEC 60870-5-101IEC 60870-5-104IEC 61850 y OLE para Process Control Data Access (OPC DA).

Lo que hace realmente peligroso a Industroyer es que (a diferencia de Stuxnet, que estaba pensado para atacar un objetivo en concreto) puede ser utilizado para atacar prácticamente cualquier sistema de control industrial que utilice los protocolos de comunicación implementados a nivel mundial en infraestructuras de todo tipo, entre las que se incluyen las de suministro de energía eléctrica, sistemas de control de transporte y otros sistemas encargados de gestionar el abastecimiento de agua o gas, por poner solo unos ejemplos.

Conclusión

Como acabamos de repasar, la ciberseguridad en sistemas de control industrial es bastante mejorable, aunque esto depende de cada sector donde estén implementados estos sistemas. Es obligación de los responsables protegerlos, y de los fabricantes adoptar las medidas necesarias para que no sean víctimas de un ataque, y abogar por un cambio de paradigma que contemple la seria posibilidad de que una amenaza como las que hemos descrito pueda causar daños graves.

Josep Albors

 

Dos vulnerabilidades explotadas activamente obligan a actualizar de nuevo Windows XP