Internet es hoy un elemento esencial en la vida de cualquier persona. La digitalización de nuestras identidades y de los recursos empresariales generan una sociedad de la información dependiente de un medio que evoluciona más rápido que las leyes y los acuerdos.

Los sistemas disponen de una protección insuficiente, en ocasiones motivado por el uso de protocolos inseguros por definición y en la mayor parte como consecuencia de una concienciación/formación deficiente en seguridad.

El aprovechamiento malicioso de este escenario ya ha sido identificado por ejércitos, servicios de inteligencia y países de los cinco continentes. Confirmando una nueva dimensión donde pueden materializarse las amenazas más allá de la tierra, mar y aire: el ciberespacio.

Estos ataques pueden ser realizados sin herramientas especializadas, al alcance de todos. Y dirigirse remotamente contra entornos IT tradicionales, con los que estamos muy familiarizados, o contra sistemas operacionales como las infraestructuras industriales.

“Tradicionalmente los sistemas de control y automatización de procesos industriales eran sistemas cerrados, propietarios, diseñados para operar en un entorno controlado y restringido. Sin embargo, la creciente digitalización de estos sistemas, la introducción de tecnologías comerciales y estándares y la creciente interconexión con otros sistemas corporativos, ha traído aparejada la introducción de nuevas vulnerabilidades y la exposición de éstas a nuevas amenazas para las que estos sistemas no están preparados. Por ello, la concienciación de las empresas y de las instituciones y la formación de profesionales son aspectos imprescindibles para la creación de una sólida estrategia de ciberseguridad.” S21sec

Este gran riesgo ha forzado a evolucionar hacia una ciberseguridad industrial preventiva y mucho más especializada. Donde se protejan los sistemas, se mantengan actualizados y se registren los eventos relacionados con su seguridad. De forma que sea posible utilizarlos en el análisis forense tan habitual en los entornos IT. Dando lugar a la aparición de un negocio relativamente nuevo (e ilusionante) con gran recorrido y que requerirá la formación y el esfuerzo de muchos profesionales especializados.

Los sistemas de Control Industrial han sido gestionados por colectivos no especializados que, en lineas generales, se han mantenido felizmente alejados del mundo digital y de sus amenazas. Esta situación no solo no previene tecnicamente sino que dificulta la adopción de otras medidas ante la incredulidad de recibir un ciberataque. No creen que estos incidentes, ya sea de forma fortuita o deliberada, puedan producirse o llegar a afectar a las infraestructuras de una manera importante.

En Febrero de 2013, la Unión Eurpea ha publicado su “Estrategia de Ciberseguridad de la Unión Europea” donde afirma que “Los incidentes de ciberseguridad, tanto deliberados como accidentales, están incrementándose a un ritmo alarmante y podrían llegar a perturbar el suministro de servicios que damos por descontado como el agua, la asistencia sanitaria, la electricidad o los servicios móviles”.

La estandarización de tecnologías IT, la movilidad y la nube trasladan viejas y conocidas vulnerabilidades al sector industrial, además de abrirlas a todo el mundo. Solo es necesario buscar los dispositivos como PLCs, RTUs o sistemas SCADA y encontrar sus puertos de comunicación/entrada. Los integradores de estos dispositivos en las centrales saben que están expuestos a Internet y confían en que nadie encuentre su dirección IP, puerto de comunicación y software de gestión ( IN-seguridad por oscuridad).

A efectos de demostrar empíricamente esta situación y concienciar/informar sobre este escenario tan peligroso he programado una “araña” en Python que recorre Internet en busca de estos objetivos vulnerables. De hecho, ya existe la herramienta SHODAN que realiza esta misma búsqueda de dispositivos, pero como auditor de seguridad, me parece muy importante y didáctico no reutilizar las herramientas de terceros sino crear las nuestras propias que cubran nuestras necesidades.

Esta búsqueda en Internet permite tener una radiografía exacta de los dispositivos que se utilizan, compañías afectadas y servicios críticos vulnerables. Cada una de las vulnerabilidades que se han obtenido pueden condicionar el funcionamiento de las instalaciones y las he reportado rápidamente al Grupo de Delitos Telemáticos de la Guardia Civil a través de los canales oficiales para evitar ilícitos penales o fraudes. Como por ejemplo:

  • Estaciones de servicio (gasolineras)
  • Plantas de tratamiento de agua
  • Centrales eólicas
  • Control de edificios como circuitos de videovigilancia CCTV, aire acondicionado, iluminación y control de acceso.

Conexión al dispositivo de monitorización y gestión de los tanques de combustible de una de las múltiples estaciones de servicio en España.

Una de los detalles más sorprendentes al analizar los resultados es que, en ocasiones, se utilizan dispositivos domésticos en instalaciones industriales y se configuran para acceder remotamente a consultar el estado de la infraestructura en lugar de utilizar VPNs para la comunicación a través de Internet.

Lejos de querer alarmar sin motivos técnicos, creo necesario que todos los sistemas industriales conectados de una forma u otra a la red deben de someterse a revisiones de seguridad periódicas. Bien porque son parte de una infraestructura importante, para proteger el “know-how” de cada empresa o por una sociedad digital más segura.

Conexión telnet gasolineraSeguridad industrial - estación de servicio

Comparte este artículo sobre la ciberseguridad industrial en las Redes Sociales para hacer de la red un sitio más seguro!

Sígueme

Carlos Sánchez Santos

Presidente de Bilbaodigital y gerente de Imagina Works, S.L.
Forense informático
Auditor de Seguridad FTSAU - RHCT 605007791313908 - RHCSA 100/014/133 CEH ECC942714
Sígueme