¿Nuevo ciberataque a la red eléctrica de Ucrania?

Publicado el 04/01/2017, por INCIBE
¿Nuevo ciberataque a la red eléctrica de Ucrania?

Tras la pérdida del servicio eléctrico sufrido el año pasado por culpa del troyano Blackenergy que dejó sin electricidad a miles de hogares en la región ucraniana de Ivano-Frankvisk (alrededor de 1,5 millones de habitantes), siguen produciéndose noticias de diferente tipo relacionadas con incidentes importantes en materia de ciberseguridad, como el reciente ataque de fuerza bruta efectuado contra sitios de WordPress, o como un nuevo incidente de ciberseguridad industrial.

En concreto, Ucrania podría haber sufrido un nuevo ciberataque en su red eléctrica, como se comenta en un artículo publicado en The Register. En este artículo se indica que el posible ataque no tuvo como objetivo el sistema de distribución de la red eléctrica en sí, sino que tuvo impacto en el tratamiento realizado de la electricidad en una subestación de transporte, cuya función es la de establecer niveles de tensión adecuados para posteriormente transportar y eventualmente distribuir la energía eléctrica.

Por su parte, expertos de SANS comentan en otro artículo sobre este tema algunos datos concretos de lo sucedido, siempre bajo la duda de si fue un ciberataque o no. En el artículo se puede ver una evolución de lo sucedido desde finales del día 17 de diciembre de 2016, cuando un fallo en el sistema de control provocó la desactivación de una subestación de transporte en la zona de Novi Petrivtsi (al norte de Kiev).

En este aspecto, la empresa Archer Security Group, al igual que el SANS, también muestra una opinión conservadora sobre el origen del incidente. Archer Security Group se ciñe a lo comentado por el director ejecutivo de Ukrenergo (compañía de energía Ucraniana) en Facebook, donde comenta que un fallo en el hardware podría haber sido el culpable de los problemas sufridos, y que se está realizando una investigación para verificar que el incidente no se produjo por otras vías.

Otras fuentes, como Reuters, razonan si el ataque fue intencionado o simplemente un incidente o fallo tecnológico. En el caso de Reuters, se comentan las distintas posibilidades de por qué debería considerarse un ciberataque, lo cual sustentan mediante la recopilación de diferentes opiniones en el artículo.

Entre la población afectada se encuentran clientes que tenía la empresa Kyivenergo, empresa de distribución local en la región norte de Kiev. Estos problemas con el suministro dieron lugar a cortes en diferentes distritos de esta región al norte de Kiev, durando la interrupción una hora y quince minutos.

Según esta empresa, la restauración del servicio eléctrico comenzó 30 minutos después de su detección, cuando los operarios cambiaron el control automático a modo manual para realizar todas las gestiones necesarias y estabilizar el sistema.

Número total incidencias registradas por distritos en Kiev

- Número total incidencias registradas por distritos en Kiev (fuente) -

Analizando las informaciones publicadas a raíz de este posible ciberataque, es importante no sacar afirmaciones alarmistas o que puedan dar lugar a malos entendidos, como comenta el experto en ciberseguridad industrial Robert M. Lee en su blog.

En dicho blog se pueden leer algunas pautas a seguir para hacer frente a este tipo de incidentes. Una de las pautas que cobra más importancia, dadas las características del incidente sufrido, es la elaboración de un análisis exhaustivo de los logs de acceso, ya sea de sesiones VPN, escritorio remoto, etc. Este análisis debería ayudar a esclarecer los hechos y a sacar conclusiones con un fundamento más concreto, acerca de la intencionalidad, o no, del fallo en el servicio eléctrico.

Como conclusión más importante ante este tipo de situaciones se resalta la importancia que tiene el intercambio de información de ciberataques y el tratamiento que se da a los mismos. De esta manera, otras empresas podrán extraer lecciones aprendidas, como implementar procedimientos en el caso de sufrir un fallo, o detectar algún problema en la infraestructura de red, basándose en las acciones ejecutadas por otros.