Amedida que los procesos productivos se han ido complejizando, ha ido creciendo la necesidad de implementar plataformas de automatización y, más recientemente, de informática industrial. Sin embargo, con la llegada de estas tecnologías, se ha incrementado la llamada “superficie de ataque” para el malware informático, permitiéndole pasar de los PC residenciales y empresariales a los sistemas de control industrial (ICS, por sus siglas en inglés).

Descubierto en diciembre de 2017, el malware Triton (también conocido como Trisis o HatMan), está diseñado para atacar los sistemas instrumentados de seguridad (SIS) de la línea Triconex, de la marca Schneider Electric, un elemento crítico para resguardar la vida humana en procesos productivos riesgosos (como los existentes en la Minería o en el Oil & Gas). Este peligroso virus estaba presente en varias instalaciones petroquímicas en Medio Oriente, y hasta la fecha se desconoce el vector inicial de infección (aunque se sospecha de un elaborado ataque de phishing).

Se especula que tras conseguir acceso remoto a las instalaciones con la implementación de Triton, los cibercriminales buscaban detener o incluso destruir el proceso industrial; sin embargo, el objetivo final todavía es desconocido, porque el ataque se destapó tras una investigación ocasionada por un parada accidental de la planta. Investigaciones llevadas a cabo por diversas compañías de seguridad informática, descubrieron que el framework del malware contenía código para modificar las subrutinas de la arquitectura Triconex y una implementación del protocolo propietario de comunicaciones TriStation. De acuerdo a los investigadores, en el peor de los escenarios, Triton podría haber causado la liberación de gas de sulfuro de hidró- geno o incluso explosiones, arriesgando vidas tanto en las instalaciones como en la zona circundante.

Esta es una breve cronología de la aparición de malware diseñados para atacar específicamente plataformas de control industrial:

2010: Stuxnet fue el primer malware que se dirigió específicamente a los sistemas SCADA y a los controladores lógicos programables (PLC). Fue responsable de causar daño sustancial al programa nuclear de Irán.

2013: Havex, un troyano de acceso remoto (RAT), se utilizó como parte de una campaña generalizada de espionaje dirigida a los sistemas de control industrial en numerosos sectores industriales. Escanea los sistemas infectados para ubicar dispositivos SCADA o ICS en la red y envía datos a los atacantes. Más que una herramienta para la interrupción o destrucción de sistemas industriales, Havex está diseñado para la recopilación de inteligencia utilizada para el espionaje.

2014: BlackEnergy 2 se modificó de una variante de malware existente llamada BlackEnergy para apuntar a software HMI de diversas marcas. Se empleó en el ciberataque que derribó la red eléctrica de Ucrania en diciembre de 2015.

2016: Crash Override/Industroyer es el primer malware conocido diseñado para atacar sistemas de redes eléctricas, y se utilizó en diciembre de 2016 para el ataque informático de una subestación de transmisión eléctrica en Ucrania. Mucho más avanzado que las herramientas de uso general utilizadas para atacar la red eléctrica de Ucrania en 2015, Crash Override emplea los mismos protocolos que los sistemas de redes eléctricas individuales confían para comunicarse con uno otro, a veces llamados protocolos de plano de control.

2017: Triton.