El gobierno de EU practica para protegerse de un ataque cibernético
Olvídate, por un momento, de los geeks que descargan gratuitamente música protegida con derechos de autor.
Olvídate también de los hackers sofisticados que pueden robar identidades .
Ahora enfócate en la próxima ola de malhechores informáticos potenciales: delincuentes que pueden penetrar en los sistemas informáticos corporativos para encender válvulas, prender bombas y sobrecargar la energía en fábricas o centrales eléctricas. Son capaces incluso de atacar plantas químicas.
Esas personas están en la mente de los investigadores del Laboratorio Nacional de Idaho, donde el gobierno federal estadounidense entrena regularmente a líderes de la industria sobre la manera de proteger las infraestructuras críticas de ataques cibernéticos.
En un pasado no muy lejano, dicen los instructores locales, los funcionarios de seguridad confiaban en las “3 G” —armas, puertas y guardias (de guns, gates y guards, en inglés)— para proteger la infraestructura de intrusiones. Pero los sistemas de esas puertas están cada vez más vinculados a computadoras y controlados a través de las redes y del ciberespacio.
Eso ha hecho a los sistemas de control industrial vulnerables a un ataque.
Para demostrar esa vulnerabilidad, el Departamento de Seguridad Nacional de Estados Unidos y el Laboratorio Nacional de Idaho recientemente mostraron a periodistas un simulacro de ataque cibernético a una imitación de una planta química.
En el ejercicio, un pequeño grupo de atacantes denominados Red Team (equipo rojo) realizó un asalto a la fábrica de productos químicos. El Blue Team (equipo azul), un grupo más amplio, trató de proteger el edificio ficticio, que fue construido con contenedores de agua del tamaño de un barril, conectados por tuberías y bombas como las que se encuentran en las plantas químicas.
Para el ejercicio utilizaron conceptos que son relevantes en el mundo real.
Entre ellos:
Explotar la confianza empresarial
Los atacantes del Red Team, en su búsqueda de acceso a la red informática, no buscaron un acceso directo a los sistemas de control que codician. Ellos saben que la vulnerabilidad está en otra parte, muy probablemente en las oficinas ejecutivas de la empresa química ficticia.
Los ejecutivos a menudo tienen acceso a redes informáticas internas, para obtener acceso oportuno a información sobre productividad, producción y otros datos importantes para el mercado.
Además, con frecuencia tienen acceso, tal vez indirectamente, a redes que conectan con los sistemas de control. Los agresores saben que pueden “explotar esa relación de confianza”.
Conseguir un punto de apoyo en un sistema
En el ejercicio de Idaho, los miembros del Red Team obtuvieron un punto de apoyo al usar el phishing, una táctica también utilizada por los hackers para robar información financiera o de otro tipo. Ellos envían a un representante un correo electrónico, que parece provenir de un amigo o de una organización legítima, y que contiene software malicioso que abre un vínculo entre el equipo del remitente y el equipo corporativo.
Subvertir la seguridad de un sistema
Una vez establecido un punto de apoyo en la computadora de la empresa química, el Read Team descubre una cámara de vigilancia en la sala de control de la planta química. La cámara, destinada a salvaguardar la planta química, ahora puede ser usada en contra de ella. Los hackers pueden utilizar la cámara para monitorear los niveles de personal de la planta o hacer zoom en los páneles de control y dispositivos mecánicos, recopilando información que les ayudará en su ataque. Y una vez que el ataque sea lanzado, ellos podrán ver la respuesta de su oponente.
El 'hombre de en medio'
En ataques más sofisticados, el Red Team incluso puede insertarse entre la máquina y el operador de ésta. El equipo puede controlar la cantidad de agua que pasa a través de una bomba, al tiempo que indica al operador de la máquina que todo sigue estando normal.
Los ejercicios de Red Team contra Blue Team suelen durar entre ocho y 12 horas, y son seguidos por un 'lavado en caliente' en el que un White Team (equipo blanco) analiza el ataque y revisa las formas de prevenir ataques y responder a ellos.
Los temores de intrusiones en línea en los sistemas de control industrial no son teóricos.
En una demostración entonces clasificada en Idaho en 2007, un grupo de investigadores alteró un gran generador de energía eléctrica, utilizando dispositivos de entrada informáticos, y logró que se autodestruyera. El experimento, conocido como Aurora, fue la primera demostración de que los atacantes no sólo pueden encender un dispositivo mecánico o desactivarlo , sino que podrían destruirlo.
Luego, en 2010, un gusano informático conocido como Stuxnet fue descubierto después de extenderse indiscriminadamente. Se cree que atacó equipo usado por Irán para enriquecer uranio y la fuente del gusano no ha sido identificada.
Funcionarios del Departamento de Seguridad Nacional de Estados Unidos dicen que se están produciendo ataques contra sistemas industriales. Los atacantes están “pateando en las puertas” de los sistemas industriales, dijo Greg Schaffer, subsecretario adjunto interino de Protección Nacional y Dirección de Programas del Departamento.
