Los hackers también atacan los sistemas de control industriales

Según advierte un experto en seguridad, los ataques a las redes de sistemas de control de instalaciones industriales pueden causar, incluso, la muerte de personas.

Las redes que dan servicio a los sistemas de control industriales han sido atacadas más de 125 veces en la última década, según Joseph Weiss, socio director de la consultora en seguridad de sistemas de control Applied Control Solutions. Así dijo tener constancia el experto durante su intervención en una sesión del comité de Comercio, Ciencias y Transporte del Senado de Estados Unidos. Estas brechas estarían relacionadas con los sistemas de control de plantas nucleares, hidroeléctricas, plantas de regadío, instalaciones petrolíferas y agropecuarias. “Los impactos han alcanzado desde cuestiones triviales a significativos daños medioambientales e, incluso, serios daños en equipos que han podido tener como consecuencia la muerte”, señaló Weiss.

“Ya hemos tenido un incidente informático en Estados Unidos que ha matado a personas”, explicó este consultor remitiéndose a un caso de junio de 1999, cuando se produjo la ruptura de un gaseoducto cerca de Bellingham (Washington) que hizo que más de 200.000 galones de gasolina se vertieran en dos arroyos, que se inflamaron y mataron a tres personas. Las investigaciones apuntaron a varias causas que contribuyeron a la ruptura, pero Weiss identificó un fallo informático en la sala de control central de la tubería como parte de problema.

Además, señaló que podría llevar bastante tiempo encontrar ataques coordinados a la infraestructura empleada por los sistemas de control. “Podrían pasar semanas hasta que los equipos dañados se reemplazaran y, mientras tanto, un ataque coordinado podría estar devastando la economía y seguridad de Estados Unidos. Estamos hablando de meses de recuperación, no de días”.

La industria de sistemas de control industriales se encuentra a varios años de distancia de la industria de TI en protección de la ciberseguridad, y algunas técnicas utilizadas en el mundo de la seguridad TIpodrían dañar los sistemas de control, apuntó Weiss. “Si realizas un test de penetración a un sistema de control industrial heredado, lo echarás abajo o lo destrozarás. Serás tu propio hacker”, advirtió.

Parte del problema es que solo hay unos pocos proveedores de sistemas de control y sus arquitecturas y palabras clave son comunes a cada uno, apuntó Weiss. Además, hay probablemente menos de 100 expertos en ciberseguridad de sistemas de control en todo el mundo, y las universidades carecen de un programa curricular que trate este aspecto, añadió.

Los ataques vienen de fuera pero también de empleados y antiguos trabajadores. “Creo que las amenazas han aumentado no solo por razones de Estado, sino porque la recesión económica ha creado mucho descontento”. Weiss dio tres ejemplos de casos en los que había trabajadores molestos involucrados, incluyendo uno reciente en California donde un empleado deshabilitó el sistema de protección de fugas en tres torres de perforación de la costa.

Los senadores hicieron un llamamiento a prestar una mayor atención a la ciberseguridad por parte del gobierno y la industria. “Es muy importante que la gente sepa que la ciberseguridad no es sólo proteger nuestras redes gubernamentales de países con terroristas o hackers que quieren nuestros secretos”, dijo Jay Rockefeller, presidente del comité y senador demócrata por Virginia del Este. “Es proteger nuestras infraestructuras críticas de los ciberataques que podrían impactar severamente a nuestro comercio y economía”. Y es que, en su opinión, muchos residentes en Estados Unidos no piensan o conocen los continuos ciberataques.

No de la misma opinión fue James Lewis, director del programa de políticas públicas y tecnología del Centro de Estudios Internacionales y Estratégicos, quien pidió al Congreso que se centre en la seguridad TI tradicional además de en los sistemas de control. El portavoz señaló que ahora mismo la propiedad intelectual en Estados Unidos se encuentra comprometida y que esas pérdidas dañarán la competitividad de la nación a largo plazo. Mientras los sistemas de control representan un ataque potencial, “estamos bajo ataque ahora mismo. Me preocupa más la pérdida de información. En estos momentos, entidades extranjeras no están robando nuestra tecnología más valiosa y tenemos que detenerlo”.



TE PUEDE INTERESAR...

Accede a la cobertura de nuestros encuentros
 
Lee aquí nuestra revista digital de canal

DealerWorld Digital

 

Forma parte de nuestra comunidad
 
¿Interesado en nuestros foros? 

 

Whitepaper