Los sistemas SCADA y su exposición ante ataques informáticos

Los medios de comunicación, a través de noticieros, periódicos y redes sociales dedican una buena cantidad de sus espacios a tratar temas de seguridad local e internacional. Por ejemplo, este año nos enteramos de los efectos del Tsunami en Japón, el macrosismo que provocó y cómo aún sufrimos las consecuencias de la desafortunada irradiación que se originó en Fukushima; este año también se produjeron movimientos rebeldes en diversos países de Medio Oriente, caracterizados por manifestaciones, un caos en el flujo de información por la censura, enfrentamientos entre civiles y fuerzas militares del orden; finalmente en esta temporada se han presentado fenómenos meteorológicos que han afectado los sistemas eléctricos y de suministro de agua en los Estados Unidos o en localidades de México y Centroamérica.

Una buena cantidad de estos eventos tienen un origen natural e incontrolable en ocasiones, pero existen otros que se producen por la acción concertada de una o varias personas bajo las realidades que hoy experimentamos a través de la ciberguerra, el cibercrimen o el ciberterrorismo. Los gobiernos hoy enfrentan acciones de sabotaje perpetrado por grupos radicales o el crimen organizado y estas amenazas se cristalizan cada vez con un mayor grado de sofisticación, buscando blancos en otros recursos de las organizaciones que hasta ahora habían sido simplemente ignorados.

El papel de los sistemas SCADA

Los sistemas SCADA (software de adquisición de datos y control de supervisión) se encargan de controlar sistemas industriales, por ejemplo aquellos que filtran y distribuyen el agua, los que controlan el flujo en las tuberías de gas y petróleo, algunos controlan medios de transporte suburbano como el metro y otros más participan en una amplia variedad de sistemas que apoyan los procesos de manufactura. Muchos de los sistemas en funcionamiento fueron desarrollados por empresas como ABB, Siemens y Rockwell, entre otros, y podemos decir que la gran mayoría tiene
varios años de operar en un entorno donde estos sistemas se encontraban totalmente aislados de la red de la organización.

Este paradigma ha cambiado en los últimos años, la convergencia de las redes de voz y datos ha integrado en la misma infraestructura física de transporte todos los sistemas que generan información de la organización incluyendo, desde luego, los sistemas SCADA. En consecuencia, esto ha provocado que desde hace no mucho se hayan vuelto el blanco de ataques informáticos.

Así pues, podríamos citar el caso de Vitek Boden en Australia, que en el año 2000, tras ser despedido de una planta de aguas residuales, accedió de manera remota a los sistemas de su antiguo lugar de trabajo para verter lodo tóxico en ríos y parques con la idea de que por la gravedad del problema lo volverían a llamar y recuperaría su empleo.

Existen otros casos en los que la incursión de un virus informático también se ha traducido en un impacto en la disponibilidad de los sistemas SCADA. Por ejemplo, el gusano Slammer fue de las amenazas más recordadas de 2003 y entre sus efectos podemos citar el apagado de los sistemas de una central eléctrica de Ohio; ese mismo año parece que otro virus provocó una pérdida de potencia en una planta que electrificaba secciones de Nueva York, aunque el informe oficial de la Comisión Regulatoria de Energía Nuclear indica que no se tiene evidencia de tal hecho..

El tema de la vulnerabilidad de SCADA volvió a salir a la luz tras la aparición de Stuxnet, un gusano informático descubierto en junio de 2010, caracterizado por espiar y reprogramar sistemas industriales SCADA y con el potencial de afectar infraestructuras críticas como las centrales nucleares de generación de energía. Stuxnet tiene la capacidad de reprogramar controladores lógicos programables (PLC, por sus siglas en inglés) y ocultar los cambios con el apoyo de un rootkit. El primer blanco de este gusano fueron los sistemas de la planta nuclear de Bushehr en Irán y, por ciertas peculiaridades de su código, se ha especulado que los autores pudieran ser los Estados Unidos e Israel.

¿Cómo se explota la vulnerabilidad de los sistemas SCADA?

En una colaboración anterior en Magazitum hablamos acerca de los fuzzers; mediante el uso de esta técnica se pueden enviar múltiples variantes de datos para averiguar con qué secuencia se puede provocar una falla y acto seguido permitir el acceso de hackers, que desde ese momento son capaces de ejecutar sus propios comandos. En eventos de la industria, como DefCon, expertos han presentado demostraciones de cómo es este un riesgo latente. Como en todo caso de desarrollo de software, se puede hablar de la existencia de bugs, pero las consecuencias de su explotación pueden tener repercusiones mucho más drásticas.

Muchas de las compañías que desarrollan software SCADA hacen difícil la instalación de parches o, en ocasiones ante el temor de que este código adicional afecte el software de operación, no ofrecen una estrategia de soporte para sistemas parchados. Por lo anterior, y como suele suceder en sistemas legados, se deja toda la estrategia de seguridad a la inclusión de firewalls y dispositivos de detección de intrusos que aíslen la infraestructura SCADA del resto de la red. Los sistemas SCADA fueron desarrollados pensando en redes que siempre estarían aisladas.

Por otro lado el protocolo base de muchos de los sistemas SCADA que hoy están en producción es Modbus, cuyo diseño está pensado para operar sobre líneas de transmisión en serie. El modo bajo el cual se da la comunicación de estas redes es un primitivo esquema “petición-respuesta”, que dificulta la identificación de un eventual ataque pues los sistemas no podrían distinguir entre peticiones legítimas o peticiones provenientes de sistemas infectados. El protocolo Modbus está montado sobre TCP y ese protocolo no realiza autenticación ni tiene funcionalidades de confidencialidad de manera nativa, de forma tal que una vez que el hacker logra entrar a la red puede tomar el control de una sesión.

El éxito de ataques como el Stuxnet y otros similares se debe también a la explotación de vulnerabilidades típicas de sistemas como los viejos conmutadores que tienen poca interacción con los usuarios comunes, lo predecible de sus rutinas de mantenimiento y que los sistemas usualmente conservan sus contraseñas de fábrica facilitando en
consecuencia el trabajo de quien busca accederlos.

Dado que la integración de redes ya no tiene vuelta atrás, pues las consideraciones económicas nos llevaron a un esquema donde no existe una separación física entre las redes de TI y las redes SCADA, lo único que se puede hacer es crear separaciones lógicas a través de tecnologías de switcheo y complementarlas con dispositivos como firewalls y detectores de intrusos.

Valoración del estado actual del ambiente SCADA en mi industria

Con el fin de tener un panorama que cubra de manera integral el aspecto regulatorio, la seguridad y las operaciones, se recomienda incluir métodos para seleccionar los estándares, guías, mejores prácticas, evaluaciones de seguridad (a nivel físico, de las instalaciones, de sistemas y de operaciones), análisis de brechas, análisis de riesgos, modelo organizacional de amenazas, estrategias de mitigación y remediación, sustento legal y programas de gestión y mantenimiento.

Bajo este modelo se proponen las siguientes etapas:

1. Etapa de evaluación.- Para identificar vulnerabilidades y brechas en el ambiente SCADA. En esta fase los
pasos principales son:

Identificación y selección de estándares– Buscando aquellos que se apeguen a lo que requiere la industria vertical sobre la cual estoy regido.
Análisis de políticas y procedimientos– Una vez seleccionada la regulación a la que se dará cumplimiento, se debe realizar una matriz comparativa contra las políticas y procedimientos que están definidos en mi organización a fin de verificar su adecuado cumplimiento.
Identificación y clasificación de activos críticos– De acuerdo a las definiciones de muchos mercados verticales, se requiere clasificar los activos de acuerdo a una serie específica de atributos. Dentro de estos puede estar definida también la confidencialidad y el manejo de información.
Evaluación de seguridad– Que usualmente reemplaza a algún ejercicio anterior. Es importante que este paso evolucione y sea cada vez más completo e incluyente. Una visión holística en las pruebas incluirá aspectos de seguridad de sistemas, seguridad física, operativa y el factor humano.
Validación de la evaluación– El análisis y los resultados deben ser validados, apoyados en pruebas adicionales, entrevistas o pruebas de penetración, de otra manera podrían estarse obteniendo falsos positivos u omitirse hallazgos sustanciales.
Análisis de riesgos– Todos los datos obtenidos deben analizarse de manera integral para tener un panorama claro de los niveles de seguridad, cumplimiento y riesgo. Esto usualmente implica la realización de modelos matemáticos de análisis de riesgos y modelado de amenazas.

2. Etapa de mitigación y remediación.- Con un ejercicio exhaustivo y bien ejecutado, las acciones derivadas para la mitigación y remediación deberán fincar los elementos necesarios para reforzar los recursos existentes e incorporar aquellos que hagan falta.

3. Etapa de validación.- Una vez implantados los controles de la etapa anterior, la acción subsecuente es validar que efectivamente están cumpliendo las funciones para las cuales fueron diseñados. Para esto se suele volver a realizar un análisis de vulnerabilidades y, en caso necesario, se determinará qué acciones de ajuste deberán realizarse.

4. Etapa de aseguramiento legal– Ejercicios poco fundamentados pueden traducirse en una responsabilidad legal por negligencia de quien tiene a su cargo la ejecución del análisis de vulnerabilidades o de la implementación y verificación de los controles que se requieran. Esta etapa en realidad está presente a lo largo del proceso con el fin de evitar que alguna de las etapas se realice sin el grado de detalle que se llegue a requerir.

5. Etapa de administración– Como en todo proceso de mejora continua, hay que dar seguimiento con un plan de largo plazo que tome en cuenta que todos los controles, políticas y procedimientos se mantengan al día con las tendencias que marque la industria.

6. Entrenamiento– La actualización es la base para que todos los responsables de la infraestructura sepan qué hacer con los recursos que tienen a su disposición, qué deben hacer en caso de un incidente y qué se espera de ellos.

Conclusiones

El empleo cada vez más generalizado de los sistemas SCADA constituye un nuevo reto y una realidad para los que la industria y la infraestructura de muchas ciudades debe estar preparada. La importancia de los sistemas SCADA en el control de servicios como la energía eléctrica y el suministro de agua potable hace que se conviertan en sistemas estratégicos o incluso en sistemas dignos de ser considerados como de seguridad nacional, ya que una falla en ellos puede acarrear consecuencias desastrosas (pienso, por ejemplo, en un reactor nuclear sin enfriar, bombas de agua potable estropeadas o contaminadas, generadores de energía eléctrica arruinados, etcétera). Recordemos que estamos en el umbral de una era de nuevos eventos de crimen cibernético y que con oportunas acciones preventivas se evitarán potenciales colapsos.

[email protected]

Cookie	Duración	Descripción
cookielawinfo-checkbox-analytics	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checkbox-functional	11 months	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-performance	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.