Nueva investigación de Black Hat demuestra que es posible piratear infraestructuras de agua y energía para provocar daños físicos. Dotar de seguridad a estos sistemas sigue siendo un proceso extremadamente lento.
Tres presentaciones llevadas a cabo durante el Black Hat en Las Vegas (EE.UU.) el jueves de la semana pasada revelaron vulnerabilidades en los sistemas de control utilizados para administrar la infraestructura de energía:
- En la primera presentación se programó una demostración durante la que se pulverizó agua al público procedente de un componente de una réplica de una planta de agua al que se había forzado para estar por encima de su presión normal.
- La segunda mostró cómo los sensores inalámbricos normalmente utilizados para supervisar las temperaturas y presiones de oleoductos y otros equipos industriales podrían manipularse para dar lecturas falsas que engañen a los controladores automáticos u operadores humanos para que tomen acciones que provoquen daños.
- Una tercera charla explicará con detalle los fallos de la tecnología inalámbrica utilizada en 50 millones de contadores de energía en Europa, que permiten espiar el uso de energía en el hogar o en las empresas e incluso imponer apagones.
Todos los ataques que se mencionaron el jueves requieren muchos menos recursos y habilidades que los que se requirieron para el ataque más conocido a un sistema industrial, la operación Stuxnet de Estados Unidos, y apoyada por Israel, contra el programa nuclear de Irán.
Existe un programa de intercambio de datos administrado por el Departamento de Seguridad Nacional de EE.UU.
- Este programa, llamado ICS-CERT (siglas en inglés de Industrial Control System Cyber Emergency Response Team), comparte datos de reciente publicación sobre vulnerabilidades con las empresas afectadas y los operadores industriales.
- Y aunque ICS-CERT ponga de relieve un problema no significa que se arregle rápidamente.
Sameer Bhalotra, exdirector de seguridad cibernética en la Casa Blanca durante la administración Obama y ahora director de operaciones de la empresa de seguridad web Impermium, señaló a MIT Technology Review que aunque el ICS-CERT funciona bien, no acelera el progreso en materia de seguridad industrial.
- Las compañías que fabrican equipos y software de control industrial nunca han tenido que preocuparse mucho por la seguridad, por lo que no son capaces de generar parches rápidamente, o hacer cambios de diseño importantes. "
- Por el contrario, empresas de software como Microsoft se han convertido en expertas en poner parches a las vulnerabilidades rápidamente, hasta el punto de que hoy día es raro encontrar grandes defectos, asegura Bhalotra.
Una razón por la que el proceso es tan lento es la falta de incentivos claros, explica Bhalotra.
- La ley actual no hace que los operadores de energía o los fabricantes de sistemas de control sean responsables de las consecuencias de la falta de seguridad, como los daños causados por una explosión o un apagón prolongado.
- Solo la introducción de una nueva legislación para aclarar la cuestión de la responsabilidad hará que probablemente se acelere la evolución de la seguridad de los sistemas de control industrial, afirma Bhalotra.
Fuente: MIT Technology Review
