Antes de iniciar este artículo, agradecemos eternamente tu visita pues, como sabrás, recientemente cambiamos el dominio de nuestro sitio por diversos problemas relacionados a la administración. Muchas gracias.
Cuando pensamos en la gran cantidad de beneficios que obtiene la industria al embarcarse en su cuarta revolución y todo lo que se refiere a la interoperabilidad de las plantas como resultado de la conexión a la nube y el internet de las cosas, solemos olvidar que los equipos están expuestos a ataques cibernéticos donde las repercusiones pueden llegar a ser fatales.
Si consideramos que diariamente se totalizan más de 20 millones de ciberataques en el mundo entre usuarios domésticos, usuarios académicos, empresas privadas, empresas públicas y sectores gubernamentales; resulta curioso pensar en la cantidad de ataques dirigidos al sector industrial y, más aún, cuál es el propósito de estos ataques. Como es bien sabido, los hackers pueden agruparse en dos tipos, aquellos que lo hacen por diversión, tratando de causar un caos que puedan presumir y, por otra parte, aquellos que buscan extraer información clasificada ya sea para uso personal o para venderla. ambos son igual de peligrosos, sin embargo, el segundo tipo suele realizar ataque más silenciosos donde no se detecte su invasión a los bancos de información.
Fig. 1: Ciberataques a nivel mundial (puedes hacer click en este enlace para ver el mapa en tiempo real) |
Partiendo de lo anterior surgen un par de dudas: ¿Cómo han sido los ataques a nivel industrial y qué efectos han tenido?
Incidentes por ciberataques
Si bien es difícil hacer un recuento total de cada afectación causada por ciberataques a nivel mundial, ha habido un par de ellos que destacan por sus consecuencias y el riesgo que corrió el mundo.
Stuxnet
La primer arma cibernética, así es como se le conoce al virus tipo "gusano" Stuxnet que en 2010 llevó a la central nuclear Natanz en Irán a estados de emergencia debido a que se logró colar en sus sistemas, alterando variables internas que llevaron a la falla de múltiples etapas de un proceso que consistía en el enriquecimiento de uranio para su uso en la generación de energía.
Según los testimonios, el ataque se hizo en dos diferentes etapas, la primera consistía en elevar la velocidad a niveles considerablemente altos a unas centrifugadoras durante aproximadamente 15 minutos para después regresar a su velocidad nominal. Casi un mes después, el ataque se reflejó como una desaceleración en las mismas las centrifugadoras durante unos 50 minutos. Esto se repitió en distintas ocasiones durante varios meses, ocasionando que aproximadamente el 20% de las centrifugadoras de la planta quedaran fuera de servicio debido a su alta sensibilidad ante variaciones de tensión.
Fig. 2: Planta de producción de la central nuclear iraní. |
Entonces surge otra interrogante: ¿Cómo se infiltró Stuxnet en Natanz? De a cuerdo a los distintos reportajes desprendidos del incidente, el "gusano" se infiltró a través de una memoria USB infectada a una computadora con Windows 7, éste alcanzó los PLC del sistema (controladores S7 de Siemens) donde se realizaba el control de las centrifugadoras mencionadas anteriormente.
Fig. 3: Controlador Siemens S7-417. |
Al final, las consecuencias fueron considerablemente bajas pues solo se retrasó el desarrollo nuclear de Irán sin poner en riesgo la vida de ninguna persona, lo cual pudo tener consecuencias catastróficas a nivel internacional.
Ransomware
El malware que secuestra información a cambio de ciptomonedas, esa es la esencia de uno de los virus más agresivos que puso al mundo de cabeza en los años más recientes. Si bien un gran número de los afectados fueron usuarios domésticos, el objetivo principal de Ransomware perece ser el sector industrial por la cantidad de información confidencial que se maneja.
El caso más relevante en mi país fue la infección a sistemas de PEMEX (Petróleos mexicanos) donde se secuestraron cerca de 180 mil archivos en 2019 con la exigencia de 565 bitcoins (aproximadamente 34 millones de dólares al día de hoy) para liberarlos. Entre los archivos se encuentran nombre de usuarios de trabajadores, contraseñas, manuales de operación de la refinería de Tula en el estado de Hidalgo, bases de datos, bitácoras, programas de vigilancia y gráficas para interpretar la producción. Como podemos observar, esta información está totalmente relacionada con los procesos de producción de la empresa y, de ser difundidos por los atacantes, comprometería todas las etapas de la misma y, en caso de recibir un ataque similar a Stuxnet, se sabría exactamente qué sectores atacar.
Fig. 4: Ataque Ransomware. |
A la fecha el rescate no se ha pagado y los atacantes amenazan con liberar los archivos secuestrados.
BlackEnergy
Como último malware a mencionar en esta ocasión encontramos a BlackEnergy, un virus de tipo "troyano" que busca sabotear la infraestructura pública. Uno de los mayores afectados fue la red eléctrica de Ucrania a finales de 2015 (a pesar de que su origen fue rastreado desde 2007).
Su forma de infiltrarse en los sistemas fue mediante archivos ejecutables dentro de correos electrónicos fraudulentos que, haciéndose pasar como documentos de MS Word, escalaron en las vulnerabilidades de los sistemas hasta infiltrarse en el sistema SCADA que, como es de saberse, es un sistemas de supervisión y control del cual depende la operabilidad de todo sistema automatizado.
Fig. 5: Subestación en Ucrania. |
Al final, la afectación se reflejo como una falla en el suministro eléctrico de aproximadamente 230 mil habitantes por un intervalo de 1 a 6 horas.
Prácticamente un año después (diciembre de 2016), otro ciberataque fue realizado al mismo sistema pero esta vez con un malware llamado Industroyer.
Conclusiones
Resulta curioso y hasta increíble el como es que, en algunos casos, se vulneran los sistemas computacionales que se encargan de los sistema de control de cada proceso pues, como ya revisamos en este artículo, muchas veces se logran traspasar las barreras de seguridad con acciones tan simples como memorias infectadas o archivos de suplantación.
Se sabe que en la mayoría de los casos, no se le daba la importancia debida a la ciberseguridad de los equipos, es por eso que, nosotros como profesionales, debemos tomar en cuenta que las nuevas tecnologías conllevan vulnerabilidades que deben ser atendidas, las cuales en muchos casos se solucionan con la instalación de un parche de seguridad o actualizando los software a las versiones más actuales.
¿Tienes dudas, comentarios o sugerencias? Escríbelos en la sección correspondiente o contáctanos a través de nuestras redes sociales. Recuerda que siempre estamos abiertos atenderte y a recibir sugerencias de temas a desarrollar.
¿Te gusta nuestro contenido? Considera apoyarnos mediante una donación en paypal haciendo click en este enlace.
Y como siempre, gracias por leer.
-AHN
0 Comentarios