Una nueva investigación de Black Hat demuestra que es posible engañar a la infraestructura de agua y energía para provocar daños físicos. Dotar de seguridad a estos sistemas sigue siendo un proceso extremadamente lento.
Tres presentaciones llevadas a cabo durante la conferencia de seguridad informática Black Hat en Las Vegas (EE.UU.) el jueves de la semana pasada revelaron vulnerabilidades en los sistemas de control utilizados para administrar la infraestructura de energía, como por ejemplo las tuberías del gas. Los resultados se añaden a otros anteriores y vienen a decir que estos sistemas siguen siendo peligrosamente susceptibles ante ataques informáticos que podrían tener consecuencias devastadoras, y aunque los investigadores han propuesto correcciones para cada defecto que han identificado, advierten que, en su conjunto, la infraestructura industrial sigue siendo lamentablemente vulnerable.
Las vulnerabilidades se suman a una creciente lista de problemas identificados gracias a un reciente aumento en la investigación sobre la seguridad de los sistemas industriales. Los progresos para corregir estos problemas de seguridad han ido muy lentos, debido en parte al mal diseño de los sistemas existentes, y en parte a la falta de incentivos para corregir los errores rápidamente.
El jueves se programó una demostración durante la que se pulverizó agua al público procedente de un componente de una réplica de una planta de agua al que se había forzado para estar por encima de su presión normal. Otra mostró cómo los sensores inalámbricos normalmente utilizados para supervisar las temperaturas y presiones de oleoductos y otros equipos industriales podrían manipularse para dar lecturas falsas que engañen a los controladores automáticos u operadores humanos para que tomen acciones que provoquen daños. Una tercera charla explicará con detalle los fallos de la tecnología inalámbrica utilizada en 50 millones de contadores de energía en Europa, que permiten espiar el uso de energía en el hogar o en las empresas e incluso imponer apagones.
Las autoridades estadounidenses han advertido con frecuencia que las vulnerabilidades en los sistemas de control industrial podrían permitir ataques dañinos a la infraestructura pública que resultarían en cortes de energía, daños ambientales o incluso la pérdida de vidas.
Todos los ataques que se mencionaron el jueves requieren muchos menos recursos y habilidades que los que se requirieron para el ataque más conocido a un sistema industrial, la operación Stuxnet de Estados Unidos, y apoyada por Israel, contra el programa nuclear de Irán.
"Hemos hecho demostraciones de varias situaciones que provocarían una crisis catastrófica, como la explosión de una tubería o el desbordamiento de un tanque, y al mismo tiempo hemos enviado una imagen de la situación completamente diferente al controlador", afirma Brian Meixell desde Cimation, una empresa de seguridad de Texas (EE.UU.), que llevó el componente de la réplica de la planta de agua para demostrar las vulnerabilidades descubiertas.
Junto a su colega Eric Forner, Meixell se aprovechó de un protocolo llamado Dbus que se ha utilizado para el control de equipos industriales desde la década de los 70 y todavía se utiliza ampliamente hoy día, a menudo en dispositivos conectados directamente a Internet. Diversos escáneres de direcciones IP públicas han revelado que al menos 90.000 dispositivos de control industrial están en línea y son vulnerables a este tipo de ataque, afirma Forner. Dbus no tiene claro por qué nadie de los que lo usan dentro de la industria ha tenido como prioridad hacer que sea seguro, afirma Meixell.
Lucas Apa, investigador de IOActive, afirma que esta actitud también es la base del fallo que él y su colega Carlos Mario Penagos encontraron en sensores inalámbricos usados para supervisar la infraestructura de petróleo, agua, energía nuclear y gas natural. Los tres principales proveedores de esos sensores los han diseñado para que puedan dar lecturas falsas, o incluso ser cerrados con un transmisor de radio de 40 millas (64 kilómetros) de alcance relativamente barato, afirma Penagos. "Podemos mostrar el cierre total de la planta", afirma.
Ese problema, y el descubierto por el equipo de Cimation, es ahora conocido por las empresas que fabrican los equipos, y también por las empresas industriales y de infraestructura que los compran, gracias a un programa de intercambio de datos administrado por el Departamento de Seguridad Nacional de EE.UU.. Ese programa, llamado ICS-CERT (siglas en inglés de Industrial Control System Cyber Emergency Response Team), comparte datos de reciente publicación sobre vulnerabilidades con las empresas afectadas y los operadores industriales.
Sin embargo, solo porque ICS-CERT ponga de relieve un problema no significa que se arregle rápidamente.
Apa asegura que espera que muchos sensores sigan siendo vulnerables a su ataque inalámbrico a pesar de la acción del ICS-CERT, puesto que arreglarlos requiere conectarse físicamente con los sensores para actualizar su software. "Puesto que los dispositivos se utilizan en zonas de riesgo, puede ser muy difícil acceder a ellos", afirma, y algunas compañías tienen cientos de sensores o incluso más.
Sameer Bhalotra, exdirector de seguridad cibernética en la Casa Blanca durante la administración Obama y ahora director de operaciones de la empresa de seguridad web Impermium, señaló a MIT Technology Review que aunque el ICS-CERT funciona bien, no acelera el progreso en materia de seguridad industrial. Por el contrario, empresas de software como Microsoft se han convertido en expertas en poner parches a las vulnerabilidades rápidamente, hasta el punto de que hoy día es raro encontrar grandes defectos, asegura Bhalotra. Las compañías que fabrican equipos y software de control industrial nunca han tenido que preocuparse mucho por la seguridad, por lo que no son capaces de generar parches rápidamente, o hacer cambios de diseño importantes. "Hoy día no se está llevando a cabo nada bien organizado", afirma. "Las compañías tendrán que mejorar y ser más rápidas a la hora de poner parches, y eso va a llevar tiempo".
Una razón por la que el proceso es tan lento es la falta de incentivos claros, explica Bhalotra. La ley actual no hace que los operadores de energía o los fabricantes de sistemas de control sean responsables de las consecuencias de la falta de seguridad, como los daños causados por una explosión o un apagón prolongado. Solo la introducción de una nueva legislación para aclarar la cuestión de la responsabilidad hará que probablemente se acelere la evolución de la seguridad de los sistemas de control industrial, afirma Bhalotra.