Amenazas en los Sistemas de Control Industrial

Publicado el 15/09/2015, por INCIBE
Centro de control

Tras la aparición de Stuxnet, expertos en seguridad corporativa, que dedicaban parte de su tiempo a la investigación de vulnerabilidades, vieron en los sistemas de control industrial (SCI) una nueva vía de investigación por la variedad de dispositivos y protocolos existentes en este tipo de entornos y que todavía no habían sido el foco de atención.

Este hecho promovido por el interés generado en la comunidad, provocó que comenzaran a desarrollarse multitud de herramientas para facilitar la labor de encontrar vulnerabilidades en este sector. Así mismo, también se empezaron a desarrollar exploits para aprovechar las vulnerabilidades encontradas en los dispositivos.

Una de las herramientas más conocidas y que tiene aplicación en los sistemas de control industrial es Shodan. Este es un motor de búsqueda que permite a un usuario buscar dispositivos que tienen asociados diferentes servicios y es posible utilizar para encontrar dispositivos pertenecientes a entornos industriales que se encuentran accesibles vía Internet. No es necesario poseer grandes conocimientos ni habilidades en materia de seguridad o a nivel industrial ya que el uso de la herramienta es muy intuitivo.

captura de shodan

- Captura de una búsqueda en shodan -

Otra herramienta muy parecida y que realiza las mismas funciones es zoomeye, esta herramienta es muy similar a Shodan pero de origen chino.

Impacto de un incidente

La importancia de asegurar los sistemas de control industrial va estrechamente ligada a la imagen que una empresa desea proyectar en el mercado. Ataques de denegación de servicio y el malware (gusanos, virus, etc.) se han convertido en las amenazas más comunes que tienen gran impacto dentro de los SCI. La explotación exitosa de una vulnerabilidad puede tener impactos de diversa índole:

  • Impactos sobre la seguridad física y del entorno: Estos impactos abarcan el conjunto de consecuencias directas de los fallos producidos en sistemas de control industrial. Dependiendo de la industria afectada este tipo de impactos pueden extremadamente críticos por la posible pérdida de vidas o lesiones personales. Otros efectos incluyen la pérdida de datos y el daño potencial para el medio ambiente.
  • Impactos económicos: Tras los impactos personales y de entorno, los económicos son los más importantes dentro de los posibles incidentes a los que se puede enfrentar un sistema de control industrial. Las pérdidas económicas pueden incidir de forma directa en el correcto funcionamiento de la empresa, debido a daños en  dispositivos o infraestructuras que necesitan ser cambiadas; o bien indirectamente por ejemplo a causa de una parada en la cadena de producción y distribución del servicio.
  • Impactos sociales y mediáticos: En orden de criticidad, las consecuencias de impacto social se sitúan en última posición pero no por ello están carentes de importancia. La consecuencia de la pérdida de confianza en una organización afecta directamente a su imagen social lo que se traduce en pérdida de clientes y las consiguientes pérdidas económicas, potencial de crecimiento y competitividad. 

Consecuencias de un incidente

A continuación se enumeran algunas de las consecuencias originadas por incidentes en sistemas de control industrial. Hay que tener en cuenta que varias de las consecuencias que se indican pueden ocurrir a la vez en un mismo incidente.

  • Reducción o pérdida de la producción en uno o varios sitios simultáneamente.
  • Daños en el equipamiento.
  • Lesiones de personas.
  • Liberación, desvío o robo de materiales peligrosos (por ejemplo vertidos tóxicos).
  • Daños ambientales.
  • Violación de los reglamentos.
  • Contaminación de productos.
  • Responsabilidades legales, penales o civiles.
  • Pérdida de información confidencial o de propiedad intelectual.
  • Pérdida de imagen o de la confianza.

A continuación se muestran algunas incidencias habituales que se pueden encontrar en SCI:

  • Interrupción de las operaciones por retrasos o bloqueos del flujo de información a través de las redes corporativas o de control, denegando los servicios activos en las redes de control o causando cuellos de botella a la hora de transferir información.
  • Cambios no autorizados realizados en instrucciones de programas en PLCs, RTUs, DCS o controladores SCADA, cambios en los parámetros de las alarmas, problemas con comandos no autorizados en equipos de control que lleguen a dañar el propio equipo, paradas prematuras de procesos o incluso deshabilitar el equipo de control.
  • Envío de información falsa a los operadores encargados de controlar el sistema, ya sea para disimular cambios no autorizados o para iniciar acciones inapropiadas.
  • Modificación de software o configuración del sistema produciendo resultados impredecibles.
  • Introducción en el sistema de software malicioso (por ejemplo virus, gusanos, troyanos).
  • Modificación de instrucciones para la creación de un producto con el fin de provocar daños personales o a equipos pertenecientes a la organización.

Todos estos incidentes e impactos tienen su versión real, como puede verse en los siguientes ejemplos de incidentes reales.

Ejemplos reales

evolución incidentes en SCI

- Cronología de algunos incidentes de seguridad relevantes -

Fuga de químicos en la empresa Union Carbide en Virginia (1985)

El incidente de la fuga de químicos en Union Carbide fue uno de los primeros incidentes detectados y confirmados de la historia. Este incidente al Oeste de Virginia se produjo por un error en una aplicación que no fue programada para reconocer oxima de aldicarb, uno de los productos químicos utilizados para la fabricación de plaguicidas, todo ello agravado por un error humano a la hora de interpretar los resultados del programa.

En este incidente 134 personas tuvieron que ser enviadas al hospital. Union Carbide tuvo que enfrentarse a dos demandas de  88 millones de dólares por daños y perjuicios a multas de 32.100 dólares por poner en peligro a los trabajadores. Al final Unión Carbine gastó 5 millones para mejorar los sistemas de seguridad. Pero igualmente en 1990 tuvieron lugar 2 fugas más.

Accesos a la planta de tratamiento de aguas de Maroochy en Australia (2000)

El incidente de Maroochy es uno de los accidentes más comentados por ser bastante curioso en su origen.

En Abril del año 2000 fue arrestado un ex empleado de la compañía de aguas del Condado de Maroochy que trabajó 2 años en la supervisión de la implantación del sistema de control, consistente en 150 estaciones de bombeo. Fue acusado de acceso ilegal al sistema de control de alcantarillado del Condado, práctica que realizaba por el descontento que tenía tras ser despedido de la empresa para la que trabajaba.

El equipo que utilizó para el sabotaje consistía en un ordenador portátil provisto con un software de control adecuado y un módem de radio. La forma de acceder al sistema consistía en conectar el ordenador al sistema de estación de bombeo tratando de no ser detectado. El resultado de estas intrusiones fueron litros y litros de aguas residuales vertidas en ríos y parques, además de la pérdida de imagen de la empresa encargada de gestionar el alcantarillado.

Gusano SQL Slammer infecta la central nuclear de Davis-Besse en Ohio (2003)

El gusano SQL Slammer afectó a varios sectores dentro de los sistemas de control industrial causando grandes problemas a las empresas afectadas.

El 25 de enero de 2003, el gusano SQL Slammer aparece en Internet. Este virus atacaba una vulnerabilidad de un producto de Microsoft, por tanto, los sistemas SCADA que utilizaban este recurso eran vulnerables.

SQL Slammer fue detectado en la central de energía nuclear de Davis-Besse, en Ohio (Estados Unidos). El gusano se introdujo en la red de control de procesos a través de un ordenador portátil de una subcontrata, causando problemas en el sistema de monitorización de seguridad debido a la denegación de servicio originada por un desbordamiento de búfer y bloqueando el sistema durante varias horas.

Por otro lado,  SQL Slammer también fue detectado en una compañía de ferrocarriles de los Estados Unidos, CSX Transportation, deteniendo el tráfico ferroviario durante varias horas ese mismo año.

Detección de Stuxnet en centrales nucleares (2010)

Stuxnet fue una de las primeras llamadas ciberarmas diseñadas a medida para un objetivo y sector muy concreto dentro de los sistemas de control industrial.

Descubierto en 2010 por una empresa de seguridad de Bielorrusia, Stuxnet fue una revolución en el mundo del malware en entornos industriales. Este malware aprovechaba varias vulnerabilidades de día cero para llegar hasta su objetivo (controladores Siemens S7-315 que se encargaban de los rotores de la centrifugadora). Gracias a la explotación de dichas vulnerabilidades Stuxnet logró parar la central nuclear de Natanz en Irán.

Aparición de Dragonfly en Norteamérica y Europa (2014)

Dragonfly es importante por tratarse de un grupo de ciberespionaje, que seguía los pasos de Stuxnet, enfocado en sistemas de control industrial en zonas de Norteamérica y Europa.

Dragonfly aprovechaba dos componentes fundamentales de un programa malicioso permitiendo obtener acceso remoto a equipos infectados para controlarlos,  apoyándose en campañas de spam, ataques watering hole y troyanos.

Lecciones aprendidas y buenas prácticas

Las amenazas en los sistemas de control siempre han existido aunque, en la actualidad, con la tecnología que poseemos la explotación de las mismas puede llegar mucho más fácil. Aprender de otros incidentes como el caso de la planta de tratamiento de Maroochy, donde un control de acceso con perfiles al sistema de alcantarillado y un cambio de contraseñas hubiesen evitado el incidente.

Por otro lado, con la aparición de Stuxnet y Dragonfly, queda claro que el Air Gap (entornos aislados de conexiones externas) no puede considerarse una medida de seguridad en entornos industriales y la mejor opción a elegir pasaría por realizar una buena segmentación de la red.

Tabla con los incidentes reales anteriormente nombrados

- Tabla resumen de incidentes reales -

Conclusión

El creciente desarrollo de herramientas e investigaciones y el avance de la tecnología están divulgando grandes cantidades de información que pueden permitir realizar ataques e intrusiones en los sistemas de control industrial. Por ello, es necesario analizar el impacto y las consecuencias que tendrían estos ataques dentro de no sólo un sistema de control industrial sino de una infraestructura crítica.

Ya se ha demostrado, y ha quedado claro con los ejemplos propuestos, que una intrusión es posible. ¿Podrían darse estos ataques en las infraestructuras de mi país? ¿Se va a invertir en ciberseguridad industrial? ¿Se va continuar con todo cómo está? Son algunas preguntas que requieren una respuesta rápida por parte de la comunidad.