Suenan las alarmas: ¿pero ya es demasiado tarde?

by | Published abril 7th, 2016
Updated Enero 7th, 2020

El sector eléctrico es solo uno de los sectores que dependen de los sistemas SCADA.
El sector eléctrico es solo uno de los sectores que dependen de los sistemas SCADA.

¡Parece que por fin alguien se ha dado cuenta de que nuestras infraestructuras críticas están en peligro! Un artículo reciente publicado en nbcnews.com, titulado «Las infraestructuras de EE. UU. pueden ser objeto de ciberataques mediante Google y contraseñas sencillas», cita a las autoridades, quienes afirman que «…el ciberataque de 2013 contra la presa de Bowman Avenue, en Rye Brook (Nueva York), supuso una “nueva y aterradora frontera” de la ciberdelincuencia que “da miedo solo de pensarlo”». Dado que esta constatación llega casi tres años después de los hechos, uno no puede evitar preguntarse en qué cueva remota han estado viviendo las autoridades durante todos estos años.

Desde hace algún tiempo, quienes tienen un interés directo en la ciberseguridad vienen dando la voz de alarma sobre el grave peligro que corren nuestras infraestructuras críticas.

A modo de resumen, la infraestructura crítica de nuestra nación está compuesta por dieciséis sectores que, según la Directiva de Política Presidencial n.º 21 (PPD-21), se han considerado fundamentales para la viabilidad del país. Se han identificado como: el sector químico, el sector de instalaciones comerciales, el sector de las comunicaciones, el sector de la fabricación crítica, el sector de las presas, el sector de la base industrial de defensa, el sector de los servicios de emergencia, el sector energético, el sector de los servicios financieros, el sector agroalimentario, el sector de instalaciones gubernamentales, el sector de la asistencia sanitaria y la salud pública, el sector de las tecnologías de la información, el sector de reactores nucleares, materiales y residuos, el sector de los sistemas de transporte y el sector de los sistemas de agua y aguas residuales.

Aquellas personas con intenciones maliciosas —por decirlo de alguna manera, los piratas informáticos— llevan años empeñadas en acceder a dichos sistemas. Les interesa especialmente hacerse con el control de los sistemas SCADA de esos sectores críticos. SCADA, acrónimo de «Supervisory Control And Data Acquisition» (Control de Supervisión y Adquisición de Datos), es un tipo de sistema de control industrial que integra sistemas informáticos de supervisión y procesos físicos. En esencia, si usted piratear el sistema SCADA de un sector crítico, usted controlar físicamente las operaciones de dicho sector. Con solo pulsar unas teclas usted abrir y cerrar interruptores o válvulas y, en general, causar estragos en un sistema.

Por ejemplo, una empresa de suministro de agua de Illinois sufrió un ataque informático que provocó la destrucción de una bomba; se produjeron daños en las centrifugadoras de una instalación nuclear iraní; los sistemas SCADA de la red eléctrica ucraniana fueron objeto de un ataque que provocó un apagón en la región; una central nuclear de EE. UU. sufrió un ataque en 2003 que provocó su cierre; la lista continúa, pero el ataque a la presa del norte del estado de Nueva York ha acaparado recientemente los titulares. Chris Francescani, al redactar el artículo de nbcnews.com mencionado anteriormente, cita al investigador de delitos informáticos del FBI Mike Bazzell, quien afirma: «Este tipo de cosas llevan años ocurriendo sin ser detectadas, y ahora es una de las primeras veces que sale a la luz pública».

Por muy decididos que estén los piratas informáticos a hacerse con el control de nuestros sistemas, los «buenos» —es decir, nosotros— debemos estar igualmente decididos a impedir que eso ocurra. Dado que la mayoría de los sectores críticos son empresas privadas, debe tratarse de un esfuerzo coordinado y cooperativo por parte de las empresas, los organismos gubernamentales y los profesionales de la ciberseguridad para evitar que una catástrofe de gran envergadura azote a nuestra nación. Durante años, los expertos en ciberseguridad han venido advirtiendo de que se produciría un «Pearl Harbor cibernético» si los piratas informáticos lograran hacerse con el control de nuestros sistemas. Poco a poco, pero de forma constante, parece que lo han ido consiguiendo. Para frustrar sus intentos, se está empezando a destinar atención y financiación a reforzar nuestras defensas. En su última propuesta presupuestaria, el presidente Obama ha solicitado un aumento de 14 000 millones de dólares en iniciativas de ciberseguridad para ayudar a proteger nuestra infraestructura crítica. Esperemos que sea suficiente y que no sea demasiado tarde.

Obtenga más información sobre cómo proteger nuestras infraestructuras críticas aquí.

Fuentes

Departamento de Seguridad Nacional (s. f.). Sector de infraestructuras críticas. Consultado en https://www.dhs.gov/critical-infrastructure-sectors

Francescani, C. (3 de abril de 2016). Las infraestructuras de EE. UU. pueden ser objeto de ataques informáticos mediante Google y contraseñas sencillas. NBC News. Consultado en http://www.nbcnews.com/news/us-news/u-s-infrastructure-can-be-hacked-google-simple-passwords-n548661

Rashid, F. Y. (18 de noviembre de 2011). «Los ciberatacantes violan la red SCADA y destruyen una bomba en una empresa de suministro de agua». eWeek. Consultado en http://www.eweek.com/c/a/Security/CyberAttackers-Breach-SCADA-Network-Destroy-Pump-at-Water-Utility-614710

Reiten, G. (27 de septiembre de 2012). Se acusa a hackers chinos de la intrusión en la red relacionada con el sistema SCADA de Telvent. Powermag. Consultado en http://www.powermag.com/chinese-hackers-blamed-for-breach-of-telvents-scada-related-network/

Shalal, A. (2 de febrero de 2015). Obama solicita 14 000 millones de dólares para reforzar las defensas de ciberseguridad de EE. UU. Reuters. Consultado en http://www.reuters.com/article/us-usa-budget-cybersecurity-idUSKBN0L61WQ20150202