Hasta hace algún tiempo había una clara frontera entre el ámbito real o mundo físico y el ámbito virtual o mundo digital. Nada de lo que ocurría en los ordenadores tenía una consecuencia directa sobre objetos físicos o personas, sólo actuaban sobre objetos virtuales, transformando unos en otros. Si se producía un error, el daño recaía directamente sobre algún producto virtual que un proceso determinado tuviera como salida. ¿Qué es lo que ha desdibujado dicha frontera?
María José de la Calle. Cofundadora, directora de Comunicación & analista senior de ITTI.
Las máquinas herramientas se han empleado desde hace mucho tiempo, se han automatizado para realizar una tarea concreta, y han trabajado junto a otras coordinadas y controladas por personas. Los sensores y medidores y, en general, los sistemas de control industrial (aquellos sistemas de información empleados en el control y la supervisión de procesos [físicos] productivos), proporcionaban medidas recogidas por personas, que decidían actuar de una manera u otra en base a dichas mediciones.
También había -hay- automatismos como puertas que se abren con una señal de infrarrojo o detectan que algo o alguien quiere pasar, o grifos que suministran agua automáticamente, o luces que se encienden al paso de las personas, o detectores de movimiento de intrusos que hacen saltar alarmas, o de incendio que envían señales a una central de alarmas y que, además, pueden liberar agua.
Todos estos automatismos eran –y algunos siguen siendo– físicos, es decir, dependían del cambio de propiedades como calor, produciendo una dilatación o contracción, recepción o no de señal electromagnética; o la electricidad y la electrónica aplicada a las máquinas.
El SW: puente entre el mundo virtual y el real
Con el software (SW), se pasó a automatizar las máquinas con código, mucho más flexible y barato que el control físico, y con la posibilidad de que las máquinas pudieran comunicarse entre sí, lo que, por ejemplo, posibilitaba que mediciones de una modificara la acción de otra, o el control de varias desde de una tercera.
Este paso hizo de puente entre el mundo virtual y el físico, desapareciendo la frontera que los separaba. Los objetos virtuales en máquinas, sensores o controladores ya tenían una consecuencia en el mundo real, una acción sobre él para la cual se había programado dicha máquina.
Los fallos de SW, tanto los inconscientes como los intencionales -malware- podían causar daños físicos al producir un mal funcionamiento en las máquinas. La seguridad de los sistemas no consiste ya sólo en proteger la información como bien último y los objetos virtuales tratados por el SW, sino también evitar los daños físicos que la modificación de todo ello pudiera ocasionar en el mundo real sobre el que la máquina actúa.
La comunicación entre los distintos componentes de un sistema en un principio era por un cable que conectaba una máquina a otra. Para acceder a un sistema y controlarlo se necesitaba acceso físico.
Con Internet y el hecho de estar conectando todo a través de ella, ya es posible tener el control de cualquier máquina a distancia, desde cualquier punto del globo.
La conectividad proporcionada por puertos, antenas y protocolos, tanto por cable como sin cable, permite a las máquinas conectarse a una central de control, o con otra máquina, para proporcionar o recibir datos; o con bases de datos, formando un sistema que no tiene por qué residir en un único espacio físico.
A la revolución del SW, de Internet y la conectividad, hay que añadir la miniaturización de los componentes de un ordenador, pudiendo introducir este en cualquier dispositivo, haciendo extensivo el mundo TI -sus ventajas y sus inconvenientes- a casi cualquier cosa, fuera de lo que conocemos por ordenador. Esto es lo que se conoce por «Internet de las cosas» -IoT, del inglés Internet of Things-.
Tener todo este mundo conectado tiene sus ventajas, ya que enriquece las funciones que en principio puede realizar un dispositivo, al poder intercambiar información con otros sistemas de su entorno, con centros de su fabricante, con el usuario. Por ejemplo, un automóvil puede recibir información sobre el tráfico e informar al conductor sobre el mejor camino por el que dirigirse, al tiempo que está enviando información al fabricante sobre su rendimiento y estado de sus componentes, que a su vez puede entonces informar al conductor de si debe llevar el coche al taller para subsanar algún fallo o se le puede enviar una actualización que arregle algún mal funcionamiento; o puede intercambiar información con otros coches en un aparcamiento para saber si queda alguno libre, etc. Y, por supuesto, llevarnos a nuestro destino sin necesidad de dirigirlo nosotros.
Pero esto también tiene sus inconvenientes que son los relacionados con los riesgos en que se incurre por el hecho de estar siempre conectados y de estar intercambiando datos. No siempre lo que entra es legítimo y no dañino, y no siempre lo que sale llega sólo al destinatario adecuado.
Stuxnet y otros
Uno de los primeros ejemplos de virus encontrados en máquinas es Stuxnet1, creado para hacer funcionar mal PLC’s –controladores lógicos programables– de Siemens, y que entre otros sitios, se utilizaban en una planta de enriquecimiento de uranio de Irán. Stuxnet averió las centrifugadoras de la planta. Por medio de un pendrive que llevaba un SW para explotar una vulnerabilidad –exploit– de Windows no conocida en el momento de lanzamiento del virus se accedió a la central y a sus sistemas de operación y se tomó control de ellos, bajando a través de Internet el SW para los PLC’s que los hacían funcionar inadecuadamente.
El pasado 5 de mayo tuvo lugar una nueva edición del evento del CCI (Centro de Ciberseguridad Industrial) «La Voz de la Industria»2 . En una de las ponencias de dicho evento se realizó una demostración de cómo hackear un contador de la luz de los llamados «inteligentes» desde un PC, que, según comentaron, igual se podía haber hecho desde un smartphone. Se realizaron dos tipos de ataque, uno de denegación de servicio y otro de «Man in the middle». Estos contadores inteligentes están conectados con la empresa comercializadora informando del consumo que se realiza, y estos datos que se envían no todas las marcas de contadores los envían cifrados.
Por un lado, es fácil entrar en los contadores y, por ejemplo cortar el suministro. Como la información no está cifrada, puede hacerse, además, un ataque «Man in the middle» a los datos de consumo y obtener un patrón de las costumbres de los habitantes de la casa. Pero los contadores también pueden servir para enviar datos del contrato si se quiere modificar éste.
Siguiendo con el tema industrial, en el 2014 hackearon unos altos hornos en Alemania3, infligiendo graves daños, con cortes e interrupciones en los sistemas de producción. La entrada fue desde TI por medio de phising y desde aquí consiguieron acceso a los sistemas de producción.
El pasado 25 de abril, una compañía estadounidense distribuidora de agua y electricidad4 sufrió un ataque de tipo ransomware, que según parece sólo afectó a sus redes corporativas y no a las de operación ni a los sistemas de control industrial. En el momento en que se detectó el incidente, se bloqueó la red corporativa. Si este ataque hubiera llegado a las redes de operación, el suministro a clientes se podría haber visto comprometido gravemente.
Peor suerte corrieron los habitantes de la región ucraniana de Ivano-Frankivsk que se quedaron sin suministro eléctrico durante varias horas debido a un ataque con un troyano5. Este ataque se completó con otro de denegación de servicio a las redes telefónicas para impedir la comunicación del ataque.
Desde que el hombre primitivo aprendió a iniciar el fuego haciendo saltar chispas con dos piedras hasta ahora, que se puede hacer mandando unos códigos a unos dispositivos remotos. Incendio a distancia y de manera digital.
PIES DE PÁGINA
1- David Kushner, 26 Feb 2013. «The Real Story of Stuxnet». IEEE SPECTRUM. url [a 2016.05.09] http://spectrum.ieee.org/telecom/security/the-real-story-of-stuxnet.
2- CCI. url [ a 2016.05.09] https://www.cci-es.org/web/cci/detalle-evento/-/journal_content/56/10694/220300.
3- Kim Zetter, 08 Jan 2015. “A Cyberattack Has Caused Confirmed Physical Damage for the Second Time Ever”. Wired. url [a 2016.05.09] https://www.wired.com/2015/01/german-steel-mill-hack-destruction/.
4- Kevin Townsend, 3 May 2016. «Michigan Power and Water Utility Hit by Ransomware Attack», SecurityWeek. url [a 2016.05.09] http://www.securityweek.com/michigan-power-and-water-utility-hit-ransomware-attack.
5- Mónica Valle, 22 Ene 2016. «Continúan los ciberataques contra las compañías eléctricas en Ucrania». GlobbSecurity. url [a 2016.05.09] http://globbsecurity.com/continuan-ciberataques-companias-electricas-ucrania-37575/.
