El ataque comenzó con un simple pendrive (o memoria USB). Cuando un operador lo insertó en su HMI para descargar algunos datos históricos del proceso, Stuxnet, un "gusano" informático especialmente diseñado para "infectar" determinados modelos de sistemas SCADA y PLC, además de replicarse en los PC con el sistema operativo Windows, rápidamente se expandió dentro de la red de la agencia nuclear de Irán, buscando su objetivo: la plataforma de control de los reactores. Al encontrar finalmente su objetivo dentro de la red, el gusano provocó un error en la programación del sistema, ocasionando la parada permanente de dos reactores nucleares y un retraso estimado de al menos un año en el programa nuclear de dicha nación. Para varios analistas y proveedores de ciberseguridad, Stuxnet se destaca por la complejidad de su programación, siendo el primer virus informático capaz de "atacar" PCs y plataformas de automatización y control industrial, y por ser una demostración definitiva de que estos procesos ya están en la mira de los "piratas" informáticos. En esa línea, Sergio Pantoja, Especialista Security & Compliance de la Región Sur de América Latina, de Symantec, indica que los ataques específicamente dirigidos a empresas (como Hydraq y Stuxnet) representaron el año pasado un creciente riesgo. "El software aplicado a procesos industriales está siendo sacudido por programas maliciosos muy sofisticados, los cuales ya se han infiltrado en varias fábricas", señala.
El Cibercrimen
Hoy en día, el criminal informático se aleja bastante de las motivaciones (casi románticas) del hacker, que vulnera sistemas tanto para buscar nuevos conocimientos y desafíos como para exhibir sus capacidades frente a otros. Sin embargo, los actuales piratas informáticos operan principalmente bajo la motivación del dinero, por lo que persigue obtener información que pueda resultar de algún valor, siendo los más comunes los datos de los usuarios, como números de tarjetas de crédito y contraseñas de servicios financieros.
En este sentido, para Dmitry Bestuzhev, Investigador Regional Senior para América Latina del Equipo de Investigación y Análisis Global de Kaspersky Lab, un objetivo para atacar una industria puede ser robar información confidencial relacionada con la producción. "Un ataque también puede buscar mantener dicho proceso controlado desde afuera, porque al tener un ataque exitoso, se puede tener control electrónico en cualquier momento sobre ésta, y se puede concretar un sabotaje determinado para lograr cualquier fin deseado", añade.
Michael Price, Senior Operations Manager Latin America de McAfee Labs, explica que los procesos industriales son objetivos atractivos para los criminales, "porque sus sistemas controlan recursos de alto valor que, eventualmente, pueden ser de importancia estratégica nacional".
Un ejemplo de estos recursos mencionados por Price, es la infraestructura de las Utilities. "Nuestros gobiernos manejan actualmente todo en línea, entonces se hace mucho más fácil utilizar Internet para llegar a comprometer los recursos más sensibles de un país. Existen grupos (u otros gobiernos) que están interesados en comprometer los recursos de un país, por lo que algunas industrias son objetivos para ciertos criminales informáticos. En algunos casos, existe una motivación política, como lo demuestra el ataque de Stuxnet usado contra la planta nuclear de Irán. En conclusión, no son sólo motivos informáticos, sino también basados en razones políticas, económicas y sociales", agrega Bestuzhev.
A lo anterior, se suma el hecho de que el tamaño de las organizaciones atacadas no fue un elemento considerado por los criminales. "En el 2010, los ataques se focalizaron contra un conjunto de empresas que cotizan en la bolsa, corporaciones multinacionales y organismos gubernamentales, así como un número sorprendente de empresas más pequeñas", confirma Pantoja.
Del informe "In the Dark: Crucial Industries Confront Cyberattacks", de McAfee y el Centro de Estudios Estratégicos e Internacionales (CSIS), se desprende que una de las motivaciones de los ataques informáticos a industrias puede ser el "ciberchantaje". "En el curso de un año, el número de compañías expuestas a intentos de extorsión aumentó en un 25%. Estos están distribuidos de igual manera entre los diferentes sectores de infraestructura crítica, demostrando que ninguna industria en particular está inmune al alcance de estos cibercriminales", afirma el reporte.
La planta bajo asedio
De forma similar a los ataques "tradicionales" a la infraestructura informática de una compañía, los intentos de vulnerar los equipamientos de control y automatización de una planta industrial pueden provenir tanto desde el interior de la misma como desde el exterior. "Los procesos industriales están expuestos tanto a los ataques comunes, destinados a usuarios finales o que roba información de cualquier tipo, como también a los ataques dirigidos especialmente diseñados para causar un mal funcionamiento, e incluso sabotajes, ocasionando grandes daños relacionados ya no solamente con equipamiento informático, sino también con la parte física de la seguridad de la planta, el personal que trabaja en ella, y la seguridad ambiental", explica Bestuzhev.
Es bastante común que los piratas estudien en profundidad sus "blancos" para fabricar un ataque "a la medida", como lo expresa Pantoja: "En muchos casos, los atacantes investigaron a las víctimas clave de cada empresa y luego utilizaron ataques personalizados de ingeniería social para ingresar a las redes de las víctimas. Debido a su naturaleza focalizada, muchos ataques tuvieron éxito incluso cuando las organizaciones víctimas tenían implementadas medidas de seguridad"..
"Para aumentar la probabilidad exitosa de una infiltración indetectable en la empresa, un gran número de ataques focalizados aprovechó las vulnerabilidades de día cero para ingresar a los sistemas. Por ejemplo, Stuxnet utilizó cuatro vulnerabilidades diferentes de día cero para atacar a sus objetivos", añade.
Por su parte, Price detalla que el vector de infección "depende bastante del tipo de sistemas y del tipo de configuración que estas plataformas estén usando. Si los sistemas tienen conexión a la red local de la compañía, posiblemente estarían expuestos a ataques internos, y eventualmente también desde el exterior si es que la red interna tiene conexión al exterior (Internet). Si son dispositivos basados en sistemas operativos conocidos, entonces es posible que estén expuestos a los mismos ataques que afectan los PC de escritorio y servidores comunes. Es decir, generalmente, las técnicas usadas para atacar este tipo de equipamiento suelen ser similares a las que vemos en cualquier otro sistema TI".
Cabe destacar que, como aclara Fabián Hernández, Product Manager Automation Systems de Siemens Chile, muchos "ataques informáticos" a la infraestructura industrial sólo responden a un virus informático "común y corriente" y no a un malware especializado para infectar plataformas industriales. "La mayoría de las veces en que se han generado problemas por virus informáticos dentro de las empresas, no han sido provocados directamente por criminales, sino más bien por una mezcla de la falta de procedimientos de seguridad de parte de los trabajadores así como de empresas que no poseen sistemas de protección industriales necesarios", declara.
Según Juan Manuel Mosso, Gerente de Soluciones de Arquitectura de Rockwell Automation Chile, los procesos industriales están principalmente "expuestos a aquellas amenazas que se introducen a las plataformas de computadores del área de control a través de puertas de acceso poco vigiladas, como los puertos USB expuestos a usuarios en general, que los puedan usar para instalar pendrives, discos externos e incluso módems de banda ancha para conectarse a Internet. También se da el caso de servidores del área de control expuestos a ataques llegados desde las conexiones con los sistemas corporativos que no se han configurado adecuadamente". Este hecho, como explica Ramón Reveco, Area Manager de Tempel Chile Ltda., ha impulsado a varios usuarios a exigir de sus proveedores de equipamiento computacional industrial, "el bloqueo por software o hardware de periféricos como puertos USB, para que el operador no conecte dispositivos infecciosos como pendrives, MP3 y cámaras fotográficas".
En el caso de que un proceso resulte vulnerado por malware, sus efectos pueden ser variados. "Pueden ser tan básicos como crear un enorme tráfico espurio que cause una Negación de Servicio (DoS, Denial of Service, en inglés) y las redes colapsen, obligando a la detención de la plataforma de control, así como también más sofisticados, como el mencionado Stuxnet, que afecta la funcionalidad del sistema explotando todas las debilidades posibles. Este actuó en todo el mundo atacando a una plataforma de control específica, conectada a un dispositivo de control de velocidad de una marca determinada y activándose sobre un valor específico de comando de velocidad, causando más bien un funcionamiento erróneo que una falla fatal", asegura Mosso.
Algunos consejos básicos
Reveco sostiene que la actual tendencia, tanto a nivel mundial como en Chile, es la integración de todos los dispositivos que interactúan en un proceso de control industrial, desde la instrumentación hasta el enlace con la red corporativa de la compañía. "Si bien esto es muy ventajoso para las compañías, es un riesgo para ellas pensar que todo depende de la red. Ya no basta con una sólida capa física ni con equipos certificados para aplicaciones industriales. El énfasis actual está en el diseño de una arquitectura apropiada paralela a la red TI (no como una parte de ésta), redundante, segura bajo norma, certificada y con profesionales capacitados, desde el administrador de redes y control al operario de la HMI SCADA", asegura.
Por su parte, Mosso, de Rockwell Automation, coincide con esta mirada, y aconseja la implementación de elementos de seguridad a los datos, como la DMZ (zona desmilitarizada) y cortafuegos en todos los puntos de interconexión. "Es altamente deseable que los puntos de interconexión se reduzcan a uno solo entre el área de proceso y la red del departamento TI. En todo caso, nada que sea extremadamente costoso, complicado o difícil de instalar, pues es tecnología existente, ampliamente difundida y de alta efectividad", dice.
Para Hernández, una precaución fundamental es el uso de un firewall o "cortafuegos". "Estos equipos impiden que agentes externos desconocidos puedan tener acceso a los sistemas, y existe una gran diversidad de marcas, modelos y tipos. Lo importante es tener siempre en cuenta que las soluciones de procesos industriales requieren sistemas y equipos que estén en la categoría industrial, ya que las exigencias y robustez deben estar relacionadas a la criticidad de estos procesos", expresa, mientras agrega que "es muy importante considerar que la conectividad a otros sistemas externos a los de Automatización, nos permite acceder a sistemas de gestión que son vitales para el manejo de la eficiencia de los procesos automatizados, por lo que la independencia es segura, pero no necesariamente funcional. Por esto, se recomienda el uso de soluciones VPN (Virtual Private Network) que permitan que otros computadores externos a nuestro sistema puedan comunicarse en forma segura, protegiendo la transferencia de datos contra espionaje y manipulación utilizando estándares certificados", afirma Hernández.
En este sentido, Reveco, de Tempel Chile, agrega que "los profesionales del área de Control y Automatización Industrial, tenemos mucho que aprender de aquellos del área de TI. En este sentido, resulta básico el diseño de una arquitectura de red diseñada de forma paralela a la red TI, y no como parte de ésta última, así como la capacitación de los profesionales del área de Control Industrial que interactúen en esta red".
Para Dmitry Bestuzhev, de Kasper-sky Lab, la principal recomendación es no subestimar el valor de su información. "No crea que por no tener una gran planta industrial ya no se es un blanco para los criminales informáticos. Todos tenemos que tomar muy en serio la seguridad informática, utilizando buenas soluciones y actualizándolas constantemente para no sólo tener los productos sino también tener una actitud profesional hacia los ataques, tanto con vistas hacia la prevención como a la corrección, si es que los ataques ya han sucedido", afirma.
