Protección de Infraestructuras Críticas

Pocas personas en el mundo alguna vez han oído hablar sobre PLCs, estos son componentes que regulan algunos de los procesos e instalaciones más críticos del mundo. Los PLCs son usados en una gran variedad de sistemas de control automatizado, o también conocidos como sistemas SCADA (Supervisory Control and Data Acquisition), son sistemas de control distribuidos que pueden estar compuestos por generadores, turbinas, calderas, etc. Estos sistemas también controlan las bombas que transmiten las aguas sucias a la planta de tratamiento y previene que los depósitos de agua se desborden, estos sistemas pueden abrir y cerrar válvulas de gas para prevenir acumulaciones de presión que pueden causar explosiones y rupturas mortales. Cosas obvias, pero no menos importantes, usan también sistemas de control industrial. Por ejemplo los sistemas que controlan los robots de una cadena de montaje de coches, la distribución y mezcla de los ingredientes de una planta farmacéutica y química. Estos sistemas también son usados por los fabricantes de bebidas y comidas para configurar y monitorizar temperaturas y sensores, para asegurar que la comida esté pasteurizada y cocida, matando todas las bacterias. Estos sistemas ayudan a mantener estables las temperaturas en los hornos donde se hace el vidrio, la fibra de vidrio y el acero para asegurar la integridad de los rascacielos, coches y aviones. Estos sistemas también controlan los semáforos, abren y cierran puertas de seguridad como la de las prisiones, y abren y cierran puentes en carreteras y vías fluviales. También ayudan a cambiar la ruta de los trenes para prevenir accidentes. En menor escala, también controlan los ascensores de grandes edificios, sistemas de aire acondicionado y calefacción de hospitales, colegios y oficinas. En resumen, los sistemas de control industrial son componentes críticos que mantienen en correcto funcionamiento las infraestructuras y las industrias de todo el mundo. Estos sistemas necesitan ser fiables y seguro. Y como ha demostrado Stuxnet, estos aún no son los suficientemente seguros. 

Tras ver a Stuxnet atacar sistemas de control industrial, la puerta está abierta para lanzar cualquier otro tipo de ataque. No es necesario tener unas habilidades extremas para lanzar un ataque contra una depuradora o un sistema de control de semáforos.
 
Los PLCs existen mucho antes que los virus. Inicialmente las cadenas de montajes utilizaban sistemas de control de relé cableado y cada vez que se quería hacer algún ajuste había que llamar al electricista. Posteriormente, con los PLCs era más fácil de ajustar y monitorizar los sistemas, ya que tan solo se necesitaba unas líneas de código. Tras este gran avance y definitivamente con las leyes de medio ambiente en la que las industrias debían habilitar una conexión remota a los gobiernos para monitorizar la contaminación y la energía consumida, se conectaron los sistemas industriales a módems permitiendo el acceso remoto. Todo esto hace que hoy en día sea mucho más sencillo entrar y vulnerar sistemas de control industrial. 

La mayoría de infraestructuras críticas son gestionadas y mantenidas por empresas privadas donde en muchos casos el gobierno no puede hacer nada, por este motivo se creó el organismo CNPIC para regular, controlar y exigir a las empresas privadas que las infraestructuras críticas cumplan con los niveles mínimos de seguridad. 

Nos podemos encontrar infraestructuras críticas que están conectadas a Internet con contraseñas por defecto, contraseñas grabadas a fuego en los sistemas por los fabricantes y que no se pueden cambiar, sistemas no parcheados y des-actualizados, y falta de protecciones estándares como cortafuegos, sistemas de detección y protección de intrusos, SIEM, etc. 

A pesar de las advertencias de muchos ingenieros de la necesidad de proteger las infraestructuras críticas, no fue hasta la publicación de Stuxnet en el 2010 cuando la industria se dio cuenta que la protección de las infraestructuras críticas debía ser obligatoria. 

Es fácil encontrarse con sistemas que no cifran la comunicación entre la máquina de programación del PLC y el PLC, de tal manera que se puede hacer un MiTM para capturar los comandos enviados al PLC y enviarle aquellos comandos que el atacante esté interesado. Además, podemos encontrarnos PLCs que no comprueban la autenticidad de la máquina origen mediante firma digital, por lo que nos podemos hacer pasar por un equipo confiable para enviarle comandos al PLC. Una vez que nos hacemos con el control del PLC podemos incluso cambiarle la contraseña para que los usuarios legítimos no puedan entrar en el PLC.

Los problemas de seguridad en estos sistemas perduran durante mucho tiempo, ya que el tiempo de vida de estos sistemas puede llegar a ser de 20 años, nada que ver con el tiempo de vida de un PC. Por tanto, no suelen actualizarse y se aplican pocos parches, además nos podemos encontrar el caso que tras 20 años de vida, los nuevos componentes que se vayan a instalar tienen que ser compatibles con los anteriores manteniendo los problemas de seguridad. Aplicar parches a un sistema de control industrial no suele ser frecuente ya que puede conllevar la parada durante varias horas del sistema. 

Antes este tipo de sistemas estaban en una red aislada, no estaban conectados a Internet, sin embargo hoy en día nos podemos encontrar más de 10000 sistemas de control industrial conectados a Internet. Como podemos ver en el servicio Shodan, existen sistemas publicados a Internet que controlan plantas nucleares, plantas de tratamiento de aguas, presas, puentes, estaciones de tren, etc. 

Muchos sistemas SCADA si no están publicados en Internet son accesibles a través de módem, y éstos tan solo están protegidos por las contraseñas por defecto que en muchos casos son tres dígitos. Claro ... cuando un operador está nervioso porque su sistema SCADA no funciona no quiere perder tiempo adivinando las contraseñas, además estos sistemas no tienen mecanismos de defensa como por ejemplo bruteforce, es decir, puedes intentar adivinar la contraseña todas las veces que necesites. 

Los sistemas de control industrial que son accesibles desde Internet tienen un riesgo obvio, sin embargo, también podemos llegar a estos sistemas industriales infectando memorias USB o los archivos de proyectos que los ingenieros utilizan para programar los PLCs, o incluso provocar problemas mediante pulsos electromagnéticos.

Como hemos visto hay muchas formas de atacar infraestructuras críticas, sin embargo la más efectiva es atacar a aquella de la que dependen todas, la red de energía eléctrica, cortar la electricidad durante un tiempo prolongado afectará a todos los sectores y producirá grandes pérdidas económicas y materiales. Por eso, proteger este tipo de entornos debería ser imprescindible. Aunque hoy podemos ver en muchas casas que se está instalando contadores inteligentes de luz capaces de obtener el consumo de luz de las casas de forma remota e incluso cortarte la luz sin enviar ningún técnico. Pues al igual que la compañía eléctrica nos puede cortar la luz, si el sistema que controla estos contadores se infecta podría cortar la luz a miles de personas fácilmente.

¿Estamos haciendo todo lo posible para proteger adecuadamente nuestras infraestructuras críticas?

Commentaires