La preservación de instalaciones como centrales nucleares o redes de abastecimiento de agua, luz o gas se considera vital para que la vida cotidiana de un país, una región o cualquier pequeña localidad siga su curso.
Se trata de las infraestructuras críticas, que son ya objetivo para ciberatacantes. Y la posibilidad de que se vean comprometidas por la acción de virus informáticos se ha convertido en uno de los temas centrales del evento de seguridad informática Mundo Hacker Day, celebrado en Madrid.
En Alemania acaba de saltar un caso de ataque a una instalación de este tipo. La central nuclear de Gundremmingen, situada al noroeste de Múnich y la más potente de todo el sistema energético alemán, ha informado de la detección de software malicioso en sus sistemas. Concretamente, se han hallado dos virus, W32.Ramnit y Conficker, en un ordenador utilizado para visualizar datos relativos al movimiento de las barras de combustible, una de las maniobras más peligrosas en la operación de cualquier central nuclear, informa Reuters.
No obstante, RWE, la empresa que opera la planta, ha señalado que no existe peligro para el funcionamiento de las instalaciones, pues la operatividad está aislada de internet.
Cada vez hay más sustos en lo que respecta a las infraestructuras críticas. El pasado año, un informe de la compañía Dell apuntaba que de 2013 a 2014 se había duplicado el número de ataques a sistemas SCADA, los que utilizan este tipo de instalaciones para operar.
Es un problema a tener en cuenta pero tampoco hay que crear falsos alarmismos
En Mundo Hacker Day se ha hablado del aumento de la superficie de ataque -el número de objetivos potenciales- como uno de los factores de este incremento.
Este crecimiento se puede explicar por el aumento del número de dispositivos conectados, como los móviles, los wearables y, cada vez más, unidades que pertenecen al pujante mundo del internet de las cosas, que supone cada vez más puertas de entrada posibles. A esto se le suma que el negocio siempre se antepone a la seguridad. Lo importante es la productividad y la funcionalidad, con lo que la protección de los sistemas pasa a veces a un segundo plano.
Pero ¿hasta qué punto revisten de gravedad estos ataques? "Sabemos que se producen ataques a infraestructuras críticas, muchas veces de forma indirecta, y que esto puede repercutir. Es un problema que hay que tener en cuenta pero tampoco hay que crear falsos alarmismos", tranquiliza Josep Albors, investigador de la compañía de seguridad informática ESET. En el caso de las centrales nucleares, comenta, "al tener bastante segmentadas todas las redes, es difícil que se produzca un caso grave".
La defensa de una infraestructura crítica
Al escenario de Mundo Hacker Day también se ha subido Ben Herzog, investigador de la compañía de seguridad informática Check Point, quien ha dado una conferencia titulada Cómo atacar una planta eléctrica y mantenerse vivo. Paso a paso, con un nivel técnico elevado, el experto ha desgranado cómo un atacante podría colarse en los sistemas que gobiernan una infraestructura crítica. Pese al mal sabor de boca que ha dejado su charla, Ben matiza: "No es tan fácil: cuando se produce un ataque de este tipo normalmente hay muchos niveles que tienes que salvar".
La clave está en "todas las pequeñas decisiones que van a marcar la diferencia sobre lo lejos que llega un ataque". Herzog hace especial hincapié en la necesidad de una mayor concienciación de los empleados. Si a alguien le llega un e-mail de una dirección desconocida con un adjunto, tomar la decisión de informar sobre ello en lugar de abrir el adjunto puede marcar la diferencia.
Pero para proteger una infraestructura crítica se utilizan recursos técnicos que pretenden estar por encima de los fallos en los que puedan incurrir las personas. El sistema SCADA, que controla de facto la instrumentación de una planta, se tiende a emplazar en una red distinta a la red corporativa, que pertenece a la empresa que opera las instalaciones y que es la que está conectada a internet. Al minimizar la conexión entre las dos redes se dificulta el paso a los sistemas SCADA en caso de ataque, como ha ocurrido con la central nuclear alemana de Gundremmingen.
Sin embargo, los SCADA están preparados para hacer que todo funcione constantemente, evitando que un fallo pare las máquinas. "Si implementas una capa de seguridad en ese sistema, lo que hace es ejecutar comprobaciones que pueden hacer que la máquina se detenga", explica Albors.
Si se detecta un valor extraño en un punto, la capa de seguridad podría enviar la orden de detener las operaciones por precaución. "Así que muchas veces ésta se deja en su mínima expresión para evitarlo", apunta el experto. No obstante, el investigador indica que normalmente los ataques no se producen directamente a estos sistemas sino a otros periféricos, que pueden ser Windows o Android, para después saltar a zonas más delicadas.
Las consecuencias
Una planta nuclear, una central eléctrica, incluso una potabilizadora de agua o un hospital, entran dentro de la clasificación de instalaciones críticas. Las consecuencias de que un virus o un ataque informático afecte o detenga su funcionamiento pueden deducirse fácilmente, pero su gravedad es difícil de calcular en cada caso.
"Si una planta eléctrica cae, puedes tener un corte de electricidad de al menos algunas horas hasta que se encuentre el problema", apunta Herzog con gesto dudoso. En otros casos, las consecuencias podrían ser mucho peores: un fallo en una depuradora de agua o una manipulación maliciosa en algún dispositivo médico de soporte vital podría tener un resultado fatal.
En los últimos meses ha habido varios ataques que han saltado a los titulares. En Ucrania, en plenas Navidades del pasado año, un troyano -un programa que permite la entrada de usuarios externos a un ordenador o a un sistema- provocó un corte de electricidad en toda la región de Ivano-Frankivsk. Sus habitantes se quedaron sin luz durante varios días, con las bajas temperaturas propias de esa época.
El pasado mes de enero, la Israeli Electricity Authority identificó un virus en sus sistemas y se vio obligada a paralizar una gran cantidad de ordenadores. Llovía sobre mojado. Hacía seis meses también había tenido que apagar una parte de sus máquinas durante dos días debido a otro ataque.
¿Estamos protegidos?
Se prevé que los ataques a infraestructuras críticas aumenten con el tiempo. Uno de los problemas para afrontar este reto está en un cambio de mentalidad y también de normativas.
En España, recientemente se ha declarado a las compañías de suministro de agua como infraestructuras críticas. Hasta el momento estas entidades no tenían obligación legal de cumplir con ciertos requisitos de seguridad que sí se exigían a otras infraestructuras, como una planta nuclear o una central eléctrica.
Desde Check Point señalan que existe una mayor concienciación, tanto de gobiernos como de compañías. Albors, de ESET, coincide, aunque no deja de matizar: "Estamos seguros hasta cierto punto", y alude a la eterna carrera entre el gato y el ratón o entre la policía y el crimen.
John Thorburn, de Citrix Systems, resumía lo que hay que hacer en una breve sentencia: "Contratar más ingenieros y pagarlos más".