Infraestructuras industriales Españolas expuestasLas infraestructuras industriales son esenciales para el funcionamiento de la sociedad y de la economía. Incluso se denominan infraestructuras críticas aquellos activos de máxima importancia para el gobierno, como centrales nucleares, instalaciones portuarias o aeródromos. Cualquier interrupción de su funcionamiento tendría graves consecuencias en los flujos de suministros vitales o en el funcionamiento de servicios esenciales (además de problemas críticos de seguridad nacional).

Desde el 29 de abril de 2011, la conocida como Ley PIC establece nuevos requerimientos para la protección de este tipo de infraestructuras. El primer párrafo del preámbulo nos describe la intención que se pretende: “Los Estados modernos se enfrentan actualmente a diferentes desafíos que confieren a la seguridad nacional un carácter cada vez más complejo. Estos nuevos riesgos, generados, en gran medida, por la globalización, y entre los que se cuentan el terrorismo internacional, la proliferación de armas de destrucción masiva o el crimen organizado, se suman a los ya existentes, de los cuales el terrorismo internacional venía siendo un exponente”.

Todas estas infraestructuras están compuestas por ICSs, sistemas SCADA, PLCs, RTUs, etc… que permiten su monitorización y gestión a través de profesionales especializados y altamente cualificados. Al menos, la propia normativa nos hace ver que debe de aplicarse estos altos niveles de ciberseguridad.

Uno de los principios básicos de seguridad de la información es el principio de mínima exposición. Toda funcionalidad de un sistema aumenta la exposición del mismo. Por ejemplo, si deseamos acceder remotamente a nuestros equipos añadimos una funcionalidad muy práctica (y requerida) pero evidentemente permitimos que otros puedan alcanzar los mismos sistemas. Algo impensable para cualquier infraestructura industrial.

Sorprendentemente, algunos de los fabricantes de estos Sistemas de Control Industrial como Omron sugieren lo contrario e indican en sus manuales de funcionamiento cómo configurar el acceso remoto a sus dispositivos:

Manual Omron. Infraestructuras industriales Españolas expuestas

Incluso confirmando que, de esta manera, la seguridad de sus sistemas no se ve comprometida:

Texto Omron. Manual Omron. Infraestructuras industriales Españolas expuestas

Quiero entender que confían en que el resto no sepan hacer lo que ellos no saben, o que sus dispositivos no sean encontrados entre los billones de direcciones IP que conforman Internet (in-seguridad por ocultación).

Si fuéramos capaces de escanear Internet en busca de estos dispositivos vulnerables podríamos alcanzar los Sistemas de Control Industrial expuestos de aeropuertos, centrales de producción de energía, etc… lo cual sin duda, supondría un gravísimo problema de ciberseguridad industrial. Tendríamos una herramienta capaz de monitorizar en tiempo real este escenario para poder macro-corregir esta situación aportando un mayor nivel de seguridad a nuestra sociedad.

España tiene alrededor de 29 millones de direcciones IPs asignadas, alrededor del 0,7% de las más de 4 billones de direcciones IPv4 de todo el mundo. En un vídeo anterior mostraba un pequeño script de Python que escanea unas 160.000 direcciones a la hora en un entorno Windows, lo cual permitiría escanear todas las direcciones ipv4 Españolas en algo más de una semana. No está mal pero no permite dar una respuesta ante incidentes inmediata. En el mundo de la seguridad informática el tiempo de respuesta es importantísimo. Por lo que voy a utilizar la distribución Linux específica de seguridad para recorrer todas las direcciones IPv4 Españolas en menos de 40 minutos desde la dirección 84.77.41.92 (por si aparece en el log de vuestros dispositivos perimetrales).

Los puertos/servicios que compruebo son algunos de los que tienen graves problemas de seguridad, algunas de estas vulnerabilidades documentados y otras muchas no compartidas públicamente. La mayor parte permiten interrumpir el servicio a través de su explotación:

Siemens SIMATIC S7: 102
VNC Server: 5900
Nano-10 PLC: 9080
Omron PLC: 9600
Veeder-Root TLS-3XX: 10001
DNP3: 20000
Rockwell-Automation PLC: 44818

El resultado del análisis de las infraestructuras industriales Españolas expuestas es sorprendente

Sobre todo para los que se sientan identificados con alguno de los dispositivos que se muestran en la lista. Con más de 1500 dispositivos expuestos, la mayor parte sin ninguna medida de protección o configuración por defecto. Al margen de haber demostrado que no es posible ocultarse en Internet estos datos confirman el gran camino que tiene por delante el sector industrial para adecuarse a la normativa y progresar hacia una sociedad más segura.

Sígueme

Carlos Sánchez Santos

Presidente de Bilbaodigital y gerente de Imagina Works, S.L.
Forense informático
Auditor de Seguridad FTSAU - RHCT 605007791313908 - RHCSA 100/014/133 CEH ECC942714
Sígueme