Infraestructuras de importancia crítica se arriesgan a un ataque cibernético por no haberse actualizado para combatir las amenazas de Internet.
El Secretario de Defensa de Estados Unidos, Leon Panetta, advirtió la semana pasada sobre una serie de ataques llevados a cabo con éxito en sistemas de control por ordenador de plantas eléctricas y de agua en el país, así como en sistemas de transporte. Panetta no dio detalles sobre los incidentes, pero para él demuestran que países extranjeros o grupos extremistas podrían utilizar esas tácticas para hacer descarrilar trenes o deshabilitar redes eléctricas. Algunos expertos en seguridad informática señalan que esas afirmaciones son válidas -aunque no es probable que estos hechos sucedan- debido a lo obsoleto de la tecnología utilizada para hacer funcionar estas infraestructuras tan importantes.
"Los sistemas de energía y agua han tenido una mentalidad totalmente diferente a la de la industria de la TI (Tecnología de la Información)", afirma Chris Blask, fundador y director general de ICS Cybersecurity, una compañía que ayuda a las empresas de infraestructura a asegurar sus sistemas. "La estabilidad y fiabilidad son lo más importante: hay que mantener las luces encendidas". Mientras que los hogares y las empresas dieron la bienvenida a Internet en la década de los 90, y aprendieron a lidiar con la rapidez con que cambian las amenazas de seguridad, los operadores de las redes eléctricas y plantas de agua siguieron usando el mismo software que siempre había funcionado.
Incorporar actualizaciones de software no estaba bien visto y las vulnerabilidades se dejaron sin parchear. Y esos sistemas no actualizados no siempre están aislados de Internet, señala Blask. La razón: las empresas, los contratistas y los empleados han presionado por tener acceso remoto a sus sistemas de control por razones de comodidad y eficiencia. "Por ejemplo, podemos estar hablando de un ingeniero eléctrico que quiera gestionar una subestación sin tener que conducir por la nieve", señala Roy Campbell, dedicado a investigar la seguridad de sistemas de infraestructura crítica en la Universidad de Illinois en Urbana-Champaign (EE.UU.).
Los ataques pueden adoptar muchas formas diferentes, indica Campbell. Algunos simplemente podrían apagar los sistemas, mientras que otros podrían causar daños físicos a veces irreversibles. En 2007, el Departamento de Seguridad Nacional de EE.UU. publicó un video con una demostración apartente de la autodestrucción de una turbina generadora de energía, en un ejercicio que ilustra lo que un atacante podría hacer después de obtener acceso a un sistema de control.
En el caso de la red eléctrica, algunas vulnerabilidades surgen del modo en que se vinculan los diferentes componentes a nivel local, regional y nacional, asegura Campbell. Por ejemplo, el patrón de conexiones entre diferentes partes de la red puede crear puntos débiles que se lo pondrían relativamente fácil a un pirata informático para dejar sin conexión a un área amplia durante cierto tiempo. "Si puedes aislar una central eléctrica, por ejemplo, podría ser difícil volver a encenderla porque para ello necesitas energía", asegura Campbell.
Según Campbell, se está trabajando desde hace algunos años en la reparación de las vulnerabilidades en el software de control y las redes de ordenadores, incluso antes del descubrimiento del gusano Stuxnet diseñado para atacar los sistemas de control industrial de Irán en 2010. "Las grandes empresas se están preparando muy rápidamente", asegura el experto. Sin embargo, es difícil cerrar todos los puntos débiles en la compleja mezcla de software de control y redes informáticas que hay en las empresas de infraestructuras.
Un punto positivo es que los sistemas de control de infraestructuras son, de alguna manera, menos complejos que los de los ordenadores utilizados para los negocios o en el hogar, afirma Blask. "La ventaja que tenemos en este área de la TI es que las redes industriales son relativamente estáticas", afirma. "No surgen nuevas aplicaciones y dispositivos con mucha frecuencia, por lo que cualquier cosa que suceda debería llamar la atención".
Copyright Technology Review 2012.
No hay comentarios:
Publicar un comentario