Sistemas SCADA en el punto de mira de los Ciberataques

La empresa Fortinet ha presentado recientemente el informe "SCADA Security Report 2016" donde denuncia un incremento en los ataques a los sistemas ICS - Sistemas de Control Industrial (ICS, por sus siglas en inglés). Como resultado de este informe, más de la mitad (51%) de las organizaciones de los encuestados han experimentado un fallo de seguridad SCADA / ICS en los últimos 12 meses

Dentro de estos sistemas ICS se encuentras los sistemas SCADA (Supervisory Control And Data Acquisition, por sus siglas en inglés) que son los encargados de controlar y supervisar los equipos físicos de aplicaciones industriales,

Por lo que parece, el motivo de este incremento de Ciberataques hacia los sistemas industriales se debe a la integración o convergencia de sistemas con tecnología operacional (industriales), con los sistemas de IT regulares o convencionales. En otras palabras, la integración de sistemas SCADA, a redes basadas en IP, puede vulnerar más la ciberseguridad de un determinado sistema.

El ICS-CERT monitor Newsletter de octubre 2014 a septiembre 2015, destaca que durante ese año se reportaron un total de 295 incidentes al Equipo de Respuestas a Emergencias Cibernéticas de Sistemas de Control Industrial (ICS-CERT, por sus siglas en inglés). De éstos podemos destacar lo siguiente:

• Primer apagón eléctrico, causado por un hacker en Ucrania (23 de diciembre de 2015). Este ataque se originó de una manera sofisticada y planificada, inclusive contó con un proceso comprendido de 3 etapas, el cual originó que 57 subestaciones eléctricas dejaran de funcionar. Este ataque, que generó que la mayoría de las regiones del oeste de Ucrania se quedaran sin energía, fue confirmado días después por el Equipo de Respuestas a Emergencias Cibernéticas de Ucrania. El CERT-UA, determinó que el malware utilizado está relacionado a la familia de los BlackEnergy, el cual ha existido desde el año 2007.

• Confirmación de ataques de reconocimiento a sistemas ICS en Estados Unidos (diciembre 2015). En total se reportaron 2 ataques en esta fecha. Uno de ellos en el año 2013, estuvo dirigido a la presa de Bowman en Nueva York, el cual pretendía una recopilación de las consultas y búsquedas en las máquinas infectadas, atribuido a hackers iraníes. El segundo ataque, se perpetró contra la mayor empresa generadora de electricidad, a partir de gas y recursos geotérmicos, de América, Calpine. Dicho ataque logró obtener información como nombres de usuarios y contraseñas, así como dibujos detallados de redes de ingeniería. Los informes destacan que estos ataques tenían la intención de reunir información de inteligencia, en lugar de causar algún tipo de interrupción.

• Venta de sistemas SCADA comprometidos en el llamado bajo mundo de Internet. Este ataque, que consistió en la venta de sistemas SCADA comprometidos, en el mercado ilícito que opera en internet, demostró la notable vulnerabilidad que tiene este sistema para colocarse a la venta en el bajo mundo y sobre todo lo fácil que es adquirirlo.

Los ataques fueron perpetrados debido a que la gran cantidad de los sistemas poseen protocolos propietarios que dicen incluir algunos controles de ciberseguridad, sin embargo, este es uno de los errores más comunes, puesto que hay una serie de componentes que se dejan desprotegidos a la hora de confiar en estos protocolos.

Otro aspecto importante es el hecho de la integración de sistemas a las redes basadas en IP, las cuáles agregan un nivel adicional de conectividad que antes no era relevante pero que al integrarse al internet, se vuelven blancos de ataques para explotar vulnerabilidades. Es decir, que todo lo que requiere conectividad, requiere protección.

Uno de los principales retos es la sofisticación de los actuales delincuentes. Cuanto más avanzada sea la ciberseguridad y más eficiente sea la protección, se hará un mejor frente a los ciberataques, sin embargo, existen retos adicionales; tales como los sistemas específicos de la industria, regulaciones y prácticas. Por ello, es imperativo mantener políticas de ciberseguridad para todos los ambientes, con socios que aporten protección preventiva que nos ayude a evitar la necesidad de la aplicación de ciberseguridad correctiva.

Recomendaciones a tener en cuenta

- Cuidado con los correos electrónicos que incluyan phishing: Un antivirus por sí solo no es suficiente, un conjunto completo de herramientas que permita un adecuado análisis de correos electrónicos con archivos maliciosos, brinda una protección mucho más segura.

- Revisión continua y análisis de datos (logs): Los logs disponibles en nuestros sistemas y en nuestra red, de la mano con un continuo monitoreo de los componentes de la misma, agregan una enorme cantidad de información que nos puede ayudar a identificar vulnerabilidades de ciberseguridad y ajustar parámetros preventivos y, por qué no, a romper incursiones o ataques ya activos.

- No todas las redes son iguales, ni todas las características de ciberseguridad aplican para todos: Cada tipo de red posee sus propias características y estándares. La ciberseguridad que aplica para una no necesariamente aplica para otra. Un adecuado análisis a profundidad nos indicará los componentes adecuados que se requieren para determinado ambiente.