Asegurar la infraestructura de importancia crítica tiene que ir mucho más allá de las medidas contenidas en la reciente orden ejecutiva del presidente Obama.
La semana pasada, el coordinador de seguridad cibernética del presidente Obama, Michael Daniel, intervino en la RSA, la conferencia de seguridad más grande del mundo, celebrada en San Francisco (Estados Unidos), para explicar el funcionamiento de la orden ejecutiva de ciberseguridad del presidente, que tiene por objeto ayudar a que la infraestructura crítica de EE.UU. resista los ataques informáticos. La orden, anunciada por el presidente Obama a principios de febrero, va a crear normas voluntarias de seguridad para las compañías eléctricas y otras empresas de infraestructura, y les permitirá recibir información gubernamental clasificada sobre amenazas de seguridad.
Proteger las infraestructuras críticas es una preocupación creciente para el Gobierno de EE.UU., y el otoño pasado, el secretario Leon Panetta, señaló que el país podría experimentar una 'ciber Pearl Harbor'.
Sin embargo, durante otro momento de la conferencia, los expertos hablaron acerca de problemas más básicos relacionados con asegurar las redes de energía, las plantas de agua o la infraestructura crítica. Aún existen muchas cuestiones sobre qué tipo de ataques podrían ser posibles, cuáles podrían ser sus efectos y cuál podría ser la mejor defensa contra ellos.
Una gran parte del problema es que los fabricantes de equipos de infraestructura, como por ejemplo interruptores para la red eléctrica, siempre han dado prioridad a la fiabilidad frente a la seguridad y todavía están en el proceso de cambiar dichas prioridades.
Empresas como Siemens y ABB, que juntas dominan el mercado mundial de redes eléctricas y equipos industriales, están trabajando arduamente para que sus nuevos diseños sean seguros. Sin embargo, los resultados aparecerán de forma muy lenta porque las compañías de infraestructura reemplazan sus equipos con poca frecuencia. "Están trabajando en los nuevos dispositivos del próximo año", señaló Marcelo Branquinho, director ejecutivo de TI Safe, una empresa con sede en Brasil, que se especializa en asegurar sistemas de control industrial y es parte de una iniciativa por crear un estándar internacional para tales defensas. "La industria de la energía usa dispositivos con 20 años de antigüedad, y tenemos que pensar en otro tipo de herramientas".
Reemplazar infraestructura anticuada no será fácil. Las herramientas y técnicas estándar para la protección de las redes de ordenadores convencionales no se transfieren fácilmente puesto que los equipos que se utilizan para el control de la infraestructura son muy diferentes. La mayoría de los sistemas son una compleja mezcla de tres componentes diferentes pero relacionados entre sí: una red de ordenadores de oficina convencionales, software para controlar directamente el equipo, y un conjunto de hardware especializado, como interruptores y válvulas, en el caso de una red eléctrica. A pesar de que lo más probable es que un atacante infectase los ordenadores de oficina en primer lugar, como ocurrió con el gusano Stuxnet cuando atacó los equipos de procesamiento nucleares iraníes, en lo que se cree que fue una operación llevada a cabo por Estados Unidos e Israel, para causar un daño significativo y real tendría que interactuar con todas las demás partes del sistema.
La mayoría del trabajo a la hora de asegurar la infraestructura se ha centrado en tapar huecos en el obsoleto e inseguro software de control, señala José Fernández, profesor asistente en la Escuela Politécnica de Montreal (Canadá). Sin embargo, para asegurar apropiadamente un sistema hay que tener en cuenta los ordenadores de oficina y también los equipos físicos, así como el modo en que los tres sistemas interactúan.
"Lo realmente importante es entender los efectos [del ataque] en el mundo real, en la física de lo que estamos tratando de controlar", indicó Fernández durante la RSA. Está trabajando en simulaciones que combinan los modelos estándar de la industria relativo al funcionamiento de redes de energía con sus propios modelos de los sistemas de control y ordenadores de oficina que componen esta instalación. Esto incluye una 'caja de arena' que permite realizar pruebas de ataque y defensa específicas. "Estamos tratando de medir los efectos de los ataques en términos de kilovatios/hora perdidos, o lecturas de presión [dentro del equipo], o si algo acaba estallando o no".
La destrucción es ciertamente posible. El gusano Stuxnet logró dañar de forma efectiva el equipo de procesamiento nuclear de Irán, mientras que un vídeo filtrado de una demostración de 2007 en el Laboratorio Nacional de Idaho muestra una turbina industrial dañada por un ataque computarizado preparado.
Fernández aseguró a MIT Technology Review que las características de las redes eléctricas destinadas a hacerlas más fiables también las hacen resistentes frente a ataques, pero aún así pueden ser derribadas. Entre las tácticas para lograrlo se incluye la creación de falsas lecturas de sensor para hacer que los sistemas de control reaccionen inapropiadamente.
Las propiedades únicas de los sistemas de control de infraestructuras hacen que las personas que trabajan en su defensa estén recurriendo a métodos obsoletos o ignorados dentro de la seguridad informática convencional. Puesto que el tráfico en el interior de los sistemas de control industrial está mucho más controlado y es mucho más predecible que en el interior de las redes corporativas vinculadas abiertamente a Internet, resulta práctico enseñarle al software el aspecto 'normal' de las operaciones, para hacer sonar la alarma cuando el patrón cambie. En este contexto, el enfoque que siguen los antivirus de utilizar una lista negra de software malicioso conocido tiene mucho sentido, creando una 'lista blanca' para el tráfico de red y el software que esté permitido.
Sin embargo, encontrar la mejor forma de implementar estas opciones es un reto. Simuladores como el de Fernández apenas están empezando a ser desarrollados, y las compañías de energía son reacias a permitir la experimentación en directo en su infraestructura.
Esto también dificulta que los políticos sopesen los posibles impactos de un ataque con éxito, en su intento de planificar las posibles respuestas. Durante su intervención en la RSA, Jason Healy, director de la Cyber Statecraft Initiative del Consejo Atlántico, un think tank con sede en Washington (EE.UU.), señaló que sus investigadores están tratando de averiguar los efectos económicos de un apagón prolongado, con vistas a esbozar qué directrices pudieran justificar una respuesta militar.
Sería posible adaptarse a una interrupción de uno o dos días con un mínimo de impacto a largo plazo sobre el PIB, según indica Healy, gracias al uso de generadores de seguridad y otras medidas. "Una vez que pasas de 10 días, alrededor del 80 por ciento de la actividad económica se detiene", señaló. "Si pasas ese punto, entonces claramente el mundo lo considerará como 'un ataque militar'".
A pesar de hablar en los círculos militares sobre la posibilidad de tales ataques, Healy afirmó que los gobiernos siguen siendo cautelosos acerca de su uso. "Las naciones han tenido la capacidad de llevar a cabo ataques que provocasen la pérdida de vidas durante muchos años", pero no se ha producido ninguno. "Creo que hay evidencia de que la disuasión está funcionando al más alto nivel", concluyó.