Cuando el año pasado Stuxnet salió a la luz pública, muchos nos preguntamos cómo de seguros eran aquellos sistemas que controlaban infraestructuras críticas. En los meses siguientes no fueron pocos los investigadores que avisaron de vulnerabilidades en los sistemas SCADA más usados, demostrando que muchos presentaban importantes agujeros de seguridad.
Y así estamos a fecha de hoy; ya no es novedad presentar una nueva vulnerabilidad en sistemas de gestión de infraestructuras, resulten críticas o no. Tanto es así que las últimas vulnerabilidades presentadas no afectan solo a un fabricante, sino a varios de ellos. Tal es el caso de las ocho empresas de las que el investigador Luigi Auriemma ha descubierto (y publicado) vulnerabilidades.
Dichos descubrimientos de vulnerabilidades afectan a software que controla todo tipo de infraestructuras, y aún es pronto para conocer su alcance real. No obstante, se trata de un importante toque de atención para todas estas empresas, cuyas actualizaciones y parches de seguridad suelen tardar en lanzarse, si es que su producción llega a suceder.
En Hispasec han ido un poco más allá y han demostrado con un caso práctico cómo se puede acceder y controlar uno de estos sistemas vulnerables. Este es un ejemplo de acceso sin ninguna intención de causar daño y con fines informativos. No obstante, es muy probable que otros usuarios tengan intenciones más oscuras, por lo que resulta vital que este tipo de vulnerabilidades se solucionen lo antes posible.
Desde el laboratorio de ESET en Ontinet.com creemos que la publicación de estos fallos de seguridad demuestra que los sistemas SCADA necesitan una revisión urgente, y esperamos que los fabricantes ofrezcan soluciones que devuelvan la plena confianza a sus usuarios.
Josep Albors