Seguridad en instalaciones críticas. Stuxnet y sus sucesores.

Publicado por Marcos Fernández el día 23.9.11

El descubrimiento y posterior publicación de Stuxnet en Junio de 2010 supone un cambio de paradigma en la seguridad de las instalaciones industriales y militares. Hasta entonces se creía que los sistemas críticos gobernados por PLC o autómatas industriales no podían ser comprometidos. Era algo asumido e interiorizado por el sector.

Todavía recuerdo mis primeros años como estudiante en los que se nos mostraba la robustez y la fiabilidad de Autómatas Industriales o PLC's. Debo reconocer que no me había preocupado por la seguridad de las comunicaciones y del PC que se utiliza para programar estos dispositivos.

En ningún momento me había planteado que fuera necesario tomar medidas de seguridad adicionales. Trabajar en un entorno tan controlado nos generaba una falsa sensación de seguridad. Todo ello a pesar de ser consciente de las múltiples vulnerabilidades existentes en el sistema operativo que usaba para ejecutar la suite de programación de los PLC's.

Esto que ahora me puede llegar a escandalizar o a poner el grito en el cielo, no hace mucho tiempo era lo normal o lo correcto. Todo esto ha cambiado. Con Stuxnet se ha abierto la caja de pandora. Hasta ahora los ataques o las intrusiones de malware se centraban en exclusiva en el mundo digital. Con el descubrimiento de Stuxnet nos hemos dados cuenta que los sistemas de control de instalaciones de todo tipo son vulnerables.





Entre estas instalaciones que se encuentran en peligro o son vulnerables, están todas las controladas por PLC's o PC's Industriales. En la práctica son todas las instalaciones claves para el funcionamiento de un país. Desde una Central Nuclear o de Ciclo Combinado, hasta una fábrica de galletas. Todas con un diferente nivel de riesgo, pero no por ello exentas de ser vulnerables.

Lo interesante de este caso es que han sido comprometidas instalaciones nucleares con las medidas de seguridad más altas imaginables hasta la fecha. Y lo más preocupante es que no se habían cometido errores en los protocolos de seguridad internacionalmente aceptados.

Todas y cada una de las instalaciones a las que iba dirigido el ataque eran vulnerables. Aunque tuvieran sus sistemas operativos Windows totalmente actualizados y securizados, nada hubiera cambiado. Stuxnet usaba cuatro vulnerabilidades Zero-day y una descubierta en 2008. Esta característica por si sola no tiene precedentes.




Una vez tomado el control de la red y los PCś usados para programar los PLC's y controlar y gestionar los SCADA's, Stuxnet aprovechaba una combinación a partes iguales de ingenuidad y errores de diseño para tomar el control de los propios SCADA's y PLC's.

De ingenuidad o estupidez ha calificado un amigo mío, con amplia experiencia en el sector de la seguridad informática, al comentar con él las medidas de seguridad presentes el la comunicación a la hora de programar un PLC. Es alarmante ver como ni tan siquiera se verifica mediante firma digital lo que se envía al autómata. Las medidas de seguridad son prácticamente inexistentes.

Lo aún más preocupante es que la mayoría de este agujeros de seguridad, totalmente superados el el mundo informático siguen presentes en las instalaciones industriales o militares.

Existe un gran riesgo, algunos analistas lo consideran inevitable, que en un futuro los sucesores des estos ataques generen un problema de seguridad que supere al del mundo informático. Los países más industrializados serían el objetivo principal de estos ataques.


Esto no sólo es una hipótesis, sino que se trata de una realidad. Cualquier persona puede descargar el código fuente de Stuxnet, estudiarlo y modificarlo. El principal trabajo de estudio y desarrollo de años y una gran inversión ya está hecho.

Un equipo de ingenieros con un presupuesto relativamente reducido podría trabajar en una variante para atacar a cualquier tipo de instalación. Personalmente creo que nacerá una nueva industria enfocada en la seguridad en instalaciones industriales y militares. Para luchar contra otra industria que paralelamente tabajará en la creación de ataques para inutilizar o robar datos en instalaciones de control industrial o militar.

El tiempo en que un ataque de malware "únicamente" podía afectar a nuestros datos o sistemas operativos a finalizado. Creo que no está en cuestión que habrá sucesores que pondrán en jaque a la industria. Desde mi punto de vista es algo muy preocupante, puesto que la mayoría de los ingenieros del sector no están familiarizados con este tipo de nuevas vulnerabilidades o ataques.