Los ciberataques a las compañías e instituciones es un problema creciente que cada vez más preocupa a las empresas, y en especial a las industrias, ya que los ciberdelincuentes son capaces de robar información confidencial de nuevos productos, desconfigurar equipos de las cadenas de producción o incluso afectar a la seguridad de la planta con diferentes motivos, fundamentalmente económicos. Los ataques de tipo ransomware de los últimos meses, se están volviendo más habituales y amenazan con convertirse en un problema multimillonario si no se planifican soluciones para prevenirlos.
Si bien toda empresa o institución puede llegar a ser víctima de ciberataques, la trascendencia de éstos es aún mayor en la industria, fundamentalmente porque además de afectar a la seguridad intelectual, la vulneración de la seguridad en determinadas plantas industriales podría afectar seriamente a la seguridad de las personas.
El adecuado diseño de los sistemas de seguridad puede ahorrar millones de euros a las industrias, contribuyendo a su rentabilidad y a la conservación de puestos de trabajo.
Naturalmente existe el peligro de que los ciberpiratas se abran camino hasta uno de los ordenadores donde funcionan los HMI (Human-Machine Interface), pertenecientes a los sistemas SCADA que están autorizados para establecer conexiones con los PLC u otros dispositivos pertenecientes a la red de campo de las plantas industriales. Pero para llegar a ellos desde el exterior son las propias redes y protocolos de la informática convencional los primero puntos que deben ser vulnerados. Por ello a la hora de dificultar la entrada de los ciberdelincuentes hasta los sistemas SCADA, el primer frente a reforzar será la propia seguridad informática convencional, y así los cortafuegos irán adquiriendo una importancia cada vez mayor durante la protección de los sistemas SCADA existentes y los que se vayan implementando a medida que avance el proceso masivo de automatización e interconexión de procesos industriales e infraestructuras críticas.
Porque una de las principales ventajas de los sistemas SCADA es la interconexión y deslocalización geográfica de los diferentes nodos y la posibilidad de control y monitorización desde otro punto centralizado. Por tanto, la interconexión para acceder a ellos, debe de ser total. Esto implica el riesgo de que los equipos industriales queden expuestos a ataques procedentes de la red y perturbaciones causadas por la actividad de malware y otros parásitos informáticos. Esta situación se complica por causa de otros factores:
– Posibilidad de implementar controladores industriales en tarjetas de hardware para PC, o virtualmente por software.
– Estandarización de componentes y software.
– Preferencia por un tipo determinado de bus industrial, como por ejemplo PROFINET.
– Políticas inadecuadas de uso de Internet y dispositivos USB en las empresas.
– Cortafuegos mal configurados.
– Intranets mal administradas.
– Puntos de acceso WiFi inseguros.
– Ignorancia de los operarios y responsables de planta.
Pero, ¿cómo podría desencadenarse un ciberataque a una industria?
Supongamos una industria alimentaria que donde hay un simple sistema de bombeo de agua potable que se utiliza en diferentes procesos de toda la cadena de la planta industrial. Este sistema, al igual que la mayoría de los procesos de la factoría, se encuentra gestionado y gobernado por un SCADA. El sistema de bombeo de agua potable es muy simple ya que extrae agua de un tanque y la traslada a otro, para después retornar ese agua al otro tanque.
El sistema funciona por medio de una bomba sumergible y dispone de unos controladores de nivel que le dicen al sistema cuándo el nivel de agua se encuentra bajo. Cuando ocurre esto, se da una orden a la bomba para que arranque.
Si un atacante conectado a Internet es capaz de visualizar toda la red del sistema de control industrial mencionado, y decide atacar directamente a la bomba, aunque a simple vista pudiera pensarse que la bomba no es un objetivo con puntos débiles destacables, sin embargo no es así.
La bomba sumergible tiene que ser estanca, por lo que debe estar encapsulada, y por ello suele tener problemas de refrigeración. Puesto que al arrancar ésta se calienta, el fabricante debe dar instrucciones sobre cuántas veces por hora se puede ejecutar esta operación, limitando con ello el número de arranques de la bomba.
El atacante llega a la conclusión de que si la bomba se pone en marcha un excesivo número de veces, esta puede sobrecalentarse y por tanto se puede destruir ese equipo. Para ello lanza un script con un conjunto de instrucciones implementadas, utilizando las propias herramientas que usa el sistema de control SCADA, haciéndole creer que los cambios que se le solicita realizar son legítimos. Le da diez órdenes consecutivas a la bomba para que arranque y se pare con la intención indicada y finalmente acaba destruyendo la bomba.
Pero, ¿qué hubiese pasado si en lugar de un simple sistema de bombeo de una industria alimentaria se hubiera tratado de un sistema de control SCADA que gestiona el abastecimiento de agua a una ciudad, y hubiese sido burlado por un atacante con un perfil técnico compuesto con conocimientos de hacking y de ingeniería industrial?
Una de las formas para intentar defenderse de estos ataques es el uso de señuelos. Los señuelos son prototipos de aquellas infraestructuras que se consideran críticas, los cuales se conectan a Internet de la misma manera que lo hacen los modelos originales en cualquier industria, dando entrada a los correspondientes sistemas de control SCADA del correspondiente señuelo. De esta forma se consigue desviar a los ciberdelincuentes de los verdaderos sistemas considerados críticos.
Entre julio de 2015 y diciembre de 2016 una empresa de ciberseguridad que da servicio a las empresas recibió más de tres millones de alertas. Y entre ellas relató cómo en las primeras 24 horas de exposición del señuelo en Internet, un ataque del ransomware Cryptolocker cifró la memoria de su servidor SCADA.
Se podría llegar a pensar que si queremos inmunidad total en una red de campo tendríamos que cortar toda comunicación con el exterior. Sin embargo, dar marcha atrás a la rueda del progreso no es una solución realista. Además, la desconexión física de Internet no sería de gran ayuda. Recuérdese que el gusano informático Stuxnet consiguió infectar estaciones SCADA y autómatas Simatic S7 de Siemens tras haberse infiltrado en plantas nucleares de Irán a bordo de llaves USB infectadas.
Profesor: José Javier Díez Vidal, docente en nuestro Máster en Electrónica Industrial, Automatización y Control