En 'Blackhat – Amenaza en la red' un ciberataque hace explotar una central nuclear. Hablamos con expertos para analizar si esta ficción podría volverse real
Es un día normal en la central nuclear de Chai Wan (China). De pronto, en otro lugar del mundo alguien pulsa el botón "intro" de un ordenador y uno de los reactores explota. Un hacker informático ha paralizado el sistema de refrigeración de la central y ha provocado ocho muertos, 27 heridos y una fuga radiactiva. Este es el punto de partida de Blackhat – Amenaza en la red, estrenada en España el pasado viernes, que narra las andanzas de un grupo de informáticos para dar caza a unos cibercriminales.
Pie de foto: Imagen de la conferencia de ciberseguridad Black Hat. Crédito: Dan Tentler
Más allá de este argumento de película, ¿es realmente posible que un ciberdelincuente destruya una instalación de este tipo y acabe con la vida del personal con solo un botón? El físico nuclear y miembro de Ecologistas en Acción Francisco Castejón explica que en España "el hardware que controla la refrigeración de las centrales está completamente aislado y no se puede acceder a él".
El ejemplo de la película, sin embargo, no representa una escena fantástica e imposible de replicar. Este ataque de cine es similar al gusano Stuxnet que se introdujo en la central nuclear de Natanz (Irán) y afectó a las centrifugadoras que enriquecían uranio, según cuenta en el libro Stuxnet Countdown to Zero Day, la periodista Kim Zetter. Pero el investigador de Computer Security Lab de la Universidad Carlos III de Madrid (España), Juan Tapiador, explica que este ataque tuvo éxito debido a las "peculiaridades de la central iraní" y a que "contó con mucho respaldo económico del atacante".
La cinta ha contado con el asesoramiento de tres expertos en ciberseguridad: un exagente del FBI, un antiguo cibercriminal reconvertido en periodista y un matemático que ha participado en acciones de Anonymous. Sin embargo, a la hora de evaluar la posibilidad de que un ataque de este tipo tenga lugar en España, ni el Consejo de Seguridad Nuclear ni el Foro Nuclear ni las empresas propietarias de centrales nucleares en España han querido responder a las preguntas de MIT Technology Review en español.
Comprometer la luz
El contenido radiactivo y tóxico de una central nuclear la pone en el punto de mira de la ciberseguridad. Sin embargo, las ciudades alojan otro tipo de sistemas, como el suministro eléctrico, que un ciberatacante podría comprometer si quisiera atentar contra ellas.
En el evento de ciberseguridad Black Hat Europa 2014, los hackers Javier Vázquez Vidal y Alberto García Illera demostraron que es posible dejar sin luz a áreas concretas de una ciudad. A través de los contadores inteligentes, los ciberatacantes dmostraron que podían dejar casas sin luz y semáforos apagados "en un área de 1,6 kilómetros cuadrados", recuerda Vázquez Vidal.
La posibilidad de acceder a la red eléctrica desde los contadores es un hecho que corrobora el director de Seguridad smart grids (redes inteligentes) de S21sec, Elyoenai Egozcue. El experto afirma: "Todos los contadores tienen una opción de conectarse en remoto a la red eléctrica". Si esto se produce, el atacante podría "acceder a una subestación eléctrica y dejar sin luz a toda una ciudad o a una zona empresarial concreta".
Aunque admite que "ninguna organización está a salvo de sufrir ataques", el jefe de Redes Inteligentes de Red Eléctrica de España, Eduardo García, afirma: "Nuestro trabajo es estar lo más preparados posible y ser conscientes de que ese peligro existe para evitarlo". Con este objetivo, la compañía repasa sus sistemas de seguridad y realiza simulacros de intrusión todos los años.
Pero por si todo falla, los servicios más básicos cuentan con sistemas de respaldo por si se producen apagones. Es el caso de los hospitales, en los que muchas vidas dependen de que no se corte el suministro. Por ejemplo, el hospital Puerta de Hierro de Madrid (España) cuenta con un sistema de baterías que asegura el suministro de los lugares críticos, como los quirófanos, ante cortes puntuales. El pasado viernes, este centro sufrió un apagón y una de sus trabajadoras ha afirmado a MIT Technology Review en español que no se dio cuenta "de nada".
En el caso de una caída prolongada de la red eléctrica, como podría ocurrir en un ciberataque, el hospital cuenta con cuatro generadores alimentados por un depósito de 85.000 litros de gasóleo que "aseguran el suministro durante ocho o nueve días", afirma el responsable de mantenimiento del hospital Puerta de Hierro, Macedón Bobiscu. Además, los aparatos críticos como los respiradores y los corazones artificiales tienen una batería interna que se activa de forma automática. Bobiscu sentencia: "En ningún caso la vida de los pacientes está en riesgo".
Pie de foto: Uno de los nuevos contadores inteligentes. Crédito: IBM.
Ataque al transporte
Causar atascos masivos o provocar accidentes puede ser otra forma de atentar contra una gran urbe. En marzo de 2014, el director tecnológico de la empresa de ciberseguridad IOActive Labs, César Cerrudo, demostró que podía acceder a la red de tráfico de Washington D.C. (EEUU) gracias a una vulnerabilidad en el firmware de los dispositivos que controlan el tráfico.
El experto no tenía ninguna intención de causar accidentes, sólo buscaba grietas de seguridad, por lo que no alteró la información que recibe sistema. Sin embargo, advierte: "Estos sistemas –firmware- no tienen ningún mecanismo para detectar estos ataques por lo que toman directamente la información falsa y la usan para configurar el tiempo y uso de los semáforos, algo que puede causar accidentes".
No sólo el transporte en superficie es susceptible de sufrir intrusiones. El responsable del Área de Sistemas de Información, Javier Tagarro, de Metro de Madrid afirma que, aunque el metro sí ha sufrido alguna agresión menor, "nunca ha sido víctima de ningún ataque informático que haya supuesto un impacto en la salud o en la seguridad de los ciudadanos". Para evitar los ataques, la red que controla el transporte de viajeros no tiene conexión con el exterior.
Los robos de información y la suplantación de identidad han dejado de ser las únicas amenazas en la red. El poder del ciberataque empieza a equipararse al del terrorismo convencional. Interrumpir el suministro eléctrico de una ciudad, sembrar el caos en la circulación y paralizar el transporte público pueden convertirse en los próximos objetivos de atacantes que utilicen un ordenador como arma.