Durante mucho tiempo, los expertos en seguridad en Internet han advertido de la amenaza que representan los hackers a los sistemas que ayudan a controlar las centrales eléctricas, plantas de tratamiento de agua y sistemas de transporte de todo el mundo.
Justo antes de Navidad, esa amenaza teórica se convirtió en realidad para más de 225.000 ucranianos que quedaron a oscuras por un sofisticado ataque a una de las empresas de energía de este país.
En total, alrededor de 30 subestaciones fueron apagadas, incluidas aquellas que alimentan una de las salas de control para Prykarpattyaoblenergo, por lo que el personal que intentaba hacer volver la luz se vio obligado a buscar una solución en la oscuridad.
Incluso ahora, meses después del ataque, los sistemas informáticos de la empresa de energía de Ucrania no están arreglados del todo debido a que el malware Killdisk utilizado en el ataque eliminó archivos clave.
Descubriendo fisuras
"Se necesitó mucho tiempo y esfuerzo para llevar a cabo este ataque sofisticado", dijo Stephen Ward, director senior de la firma de seguridadi Sight Partners , que ha analizado la secuencia de los acontecimientos que condujo al ataque.
"La buena noticia es que es muy difícil apagar de forma remota las centrales eléctricas o sistemas de infraestructura similares", dijo.
"Para hacer que algo suceda en cualquiera de estos sistemas hay que obtener información para entender sus procesos. Esos procesos son completamente diferentes de una industria a otra, e incluso de una instalación a otra", agregó.
"El software básico puede ser el mismo, pero hay que escribir la lógica para controlar y crear el proceso que es único para la propia instalación", señaló.
Eso fue así en Ucrania.
Ucrania ha tenido que echar mano de fuentes de energía de resguardo en los últimos meses a raíz de una serie de cortes de electricidad
Los informes sobre el ataque revelan que los hackers pasaron meses hasta lograr entrar en los sistemas informáticos de Prykarpattyaoblenergo para que su ataque coordinado fuera lo más eficaz posible.
La banda detrás del ataque accedió al sistema engañando al personal clave para que abrieran archivos adjuntos con trampas en los mensajes de correo electrónico diseñados para que parecieran que fueron enviados por amigos y colegas.
Gordeychik ayuda a coordinar Scada Strangelove, una comunidad de investigadores de seguridad que buscan sistemas de ICS expuestos en línea. Los sistemas de SCADA (Control de Supervisión y Adquisición de Datos) se utilizan para supervisar instalaciones y maquinaria en instalaciones industriales.
"Podemos descubrir más de 80.000 tipos diferentes de sistemas de ICS conectados directamente a Internet", aseguró.
Y eso, asegura, es malo.
"Si estamos tratando de comparar el estándar de seguridad de los controladores lógicos presentes en los sistemas de ICS con ordenadores portátiles de Windows o Apple, es como Windows 95", afirmó.
"Son como un sistema operativo de escritorio de hace 10 años cuando el nivel de seguridad era muy bajo".
"El trabajo de Scada Strangelove para encontrar los sistemas vulnerables ha hecho que muchos de ellos estén fuera de línea", dijo Gordeychik.
"Por ejemplo, el trabajo que el grupo hizo en sistemas de control de trenes conectados en la red significa que muchos de ellos son ahora inaccesibles".
Su trabajo también ha llevado a algunos fabricantes de hardware a actualizar el software que controla su equipo para que sea más seguro. Algunos incluso han ido tan lejos como subirlos a sus dispositivos para fortalecerlos, incluso si los clientes no lo piden.
"La idea principal no es la de tratar de eliminar los sistemas caso por caso", dijo. "La idea principal es crear conciencia para obligar a los vendedores a crear sistemas más seguros".
Nuevas habilidades
Eso podría ser complicado, dijo Ian Glover, director de Crest, la organización que certifica a hackers éticos para trabajar en las redes corporativas y gubernamentales.
En la actualidad, Crest está llevando a cabo una investigación sobre la seguridad de las partes computarizadas en la infraestructura de Reino Unido.
El informe es un estudio de las prácticas de seguridad en las plantas y las organizaciones esenciales para ver si los hackers éticos que sondean las defensas digitales necesitan nuevas habilidades para asegurarse de que se encuentran todos los errores potenciales y las vulnerabilidades.
Lo que fue una sorpresa, dijo Glover, fue la actitud de muchas empresas a cargo la infraestructura del país.
"Eso es lo que ha sido más preocupante para mí", dijo. "Que la gente no pensaba que iban a ser atacados".
"Pero esa amenaza a los sistemas conectados directamente a la red no debe ser exagerada", dijo un portavoz de la GCHQ, la central de inteligencia y seguridad de Reino Unido.
Claro que el problema, independientemente de su grado de severidad, no solo afecta a los británicos, sino también al resto del mundo.
Defensas digitales
La seguridad en muchos sistemas industriales se asemeja a la de Windows 95
"La mayor vulnerabilidad se produce al conectar los sistemas informaticos con poca protección de la empresa a las tecnologías operacionales", afirmó el portavoz de la GCHQ.
Las tecnologías operacionales (OT) consisten en la maquinaria en el campo o en una planta industrial que mantiene un proceso en curso o que ayuda a gestionar la instalación remota.
"La gran mayoría de los ataques tienen primero como blanco a los sistemas informáticos de la empresa para luego actuar como si se tratara de un usuario legítimo para lograr que el ICS o OT haga algo", añadió el vocero.
"Existen buenas razones por las cuales los atacantes eligen esta vía".
"Es mucho más fácil explotar la empresa porque hay muchas herramientas que puede descargar y utilizar para hacer eso", afimó.
Una empresa con buenas defensas contra las amenazas dirigidas a sus sistemas corporativos también ayudará a derrotar los intentos de subvertir esa planta operado por control remoto y maquinaria.
La GCHQ aconseja de forma regular a las empresas a cargo de las diversas partes de la infraestructura nacional de Reino Unido sobre las mejores formas de organizar sus defensas digitales. Y a veces, les ha ayudado a salir airadas de ataques potenciales.
"A medida que avanzamos en la ejecución de nuestra misión de inteligencia y función, si obtenemos información sobre una amenaza a la CNI se la remitimos a la compañía relevante", dijo.
Estos incidentes raros muestran que la amenaza a la CNI es real y que hay gente con la capacidad de lanzar ataques contra la infraestructura nacional de Reino Unido y otros países.
"¿Hay que preocuparse? Sí", respondió el portavoz. "Hay gente con la capacidad. Hay gente por ahí con la intención. Pero por el momento no estamos viendo grupos que tengan la intención y la capacidad".
"Estamos haciendo todo lo posible para proteger a Reino Unido por si llega el momento en el que se unan la capacidad y la intención".