LA PIRATERÍA DE SISTEMAS NUCLEARES ES LA MÁXIMA AMENAZA CIBERNÉTICA. ¿ESTAMOS PREPARADOS?

Escenario de pesadilla

Ilustraciones de Alex Castro y William Joel

Los empleados de la planta nuclear estaban en botas de lluvia en un charco de agua, midiendo el daño. Limpiar el piso sería sencillo, pero limpiar el desastre digital estaría lejos de eso.

Un hacker en una habitación adyacente había secuestrado una planta de energía simulada, utilizando los controles industriales contra sí mismos para inundar el sistema de refrigeración.

Tomaron oficiales de tres diferentes plantas nucleares suecas, que fueron llevados para defenderse contra una serie de ataques cibernéticos, un par de horas para desconectar la computadora industrial (conocida como un controlador lógico programable) que ejecuta el sistema y coordina su reparación.

Aunque el ejercicio se llevó a cabo en una planta de carbón simulada, no nuclear, la naturaleza táctil de la demostración -el acto de ponerse botas de goma para arreglar la inundación- llevó a casa la posible consecuencia física de un ataque cibernético en la infraestructura crítica. “El siguiente paso para ellos es volver a casa y entrenar en su entorno real”, dijo a The Verge Erik Biverot, ex teniente coronel del ejército sueco que planeó el evento.

El simulacro, que tuvo lugar el pasado mes de octubre en un centro de investigación a 110 millas al suroeste de Estocolmo, fue el ejercicio cibernético más sofisticado técnicamente en el que ha participado el organismo supervisor nuclear de la ONU, la Agencia Internacional de Energía Atómica (AIEA).

 

 

 

 

 

“EL SIGUIENTE PASO PARA ELLOS ES VOLVER A CASA Y ENTRENAR EN SU ENTORNO REAL”.

Los expertos en seguridad dicen que se necesitan más de estas demostraciones prácticas para lograr que una industria tradicionalmente centrada en la protección física piense de forma más creativa sobre el crecimiento de las ciberamenazas. La medida en que se atienda a su consejo determinará qué tan preparadas están las instalaciones nucleares para el próximo ataque.

“A menos que comencemos a pensar de forma más creativa, más inclusiva y teniendo en cuenta el pensamiento multifuncional, nos quedaremos con un modelo [de seguridad] muy pasado de moda que creo que es potencialmente vulnerable”, dijo Roger Howsley, director ejecutivo del Instituto Mundial de Seguridad Nuclear (WINS).

Lo que está en juego es alto para este sector multimillonario: un ataque cibernético combinado con uno físico podría, en teoría, conducir a la liberación de radiación o al robo de material fisible. Por muy remota que sea la posibilidad, la industria nuclear no puede darse el lujo de apostar por las probabilidades. E incluso un ataque menor a los sistemas de TI de una planta podría erosionar aún más la confianza del público en la energía nuclear. Es esta sala de error cruelmente pequeña lo que motiva a algunos en la industria a imaginar lo que, hasta hace relativamente poco tiempo, era inimaginable.

La Nuclear Threat Initiative, una organización sin fines de lucro con sede en Washington cofundada por Ted Turner, ha contado alrededor de dos docenas de incidentes cibernéticos desde 1990, de los cuales al menos 11 fueron maliciosos. Entre ellos se incluye un ataque de diciembre de 2014 en el que presuntos piratas informáticos norcoreanos robaron los planos de los reactores nucleares de Corea del Sur y las estimaciones de la exposición a la radiación a los residentes locales. La compañía eléctrica afectada, que proporciona el 30 por ciento de la electricidad del país, respondió realizando ejercicios cibernéticos en plantas de todo el país.

 

En otro ataque, los piratas informáticos haciéndose pasar por un estudiante universitario japonés enviaron correos electrónicos maliciosos a los investigadores del Centro de Investigación de Isótopos de Hidrógeno de la Universidad de Toyama, uno de los sitios de investigación más importantes del mundo sobre el isótopo radiactivo que fabrica una bomba de hidrógeno. De noviembre de 2015 a junio de 2016, los piratas informáticos se robaron más de 59,000 archivos, según informes de los medios de comunicación, incluida la investigación sobre la desdichada planta nuclear de Fukushima.

Sin embargo, toda lista de incidentes cibernéticos en el sector nuclear es muy incompleta. La Comisión Reguladora Nuclear de los EE. UU., Por ejemplo, solo requiere que los operadores informen a la comisión incidentes cibernéticos que afecten las funciones de seguridad, seguridad o preparación para emergencias de la planta, excluyendo ataques potencialmente significativos en los sistemas de TI. En general, es extremadamente difícil para un hacker violar los sistemas de control interno de una planta implicados en la primera categoría, pero no es tan difícil penetrar en las redes de TI no críticas incluidas en esta última.

DESDE NOVIEMBRE DE 2015 HASTA JUNIO DE 2016, LOS PIRATAS INFORMÁTICOS ROBARON MÁS DE 59,000 ARCHIVOS

“Estamos absolutamente subestimando [la cantidad de incidentes no relacionados con la seguridad] y no estamos mirando, por lo que no podemos pretender que nuestro recuento es preciso”, dijo Robert M. Lee, un ex oficial cibernético de la Fuerza Aérea y fundador de Dragos, una firma especializada en sistemas de control industrial (ICS) ciberseguridad. Al explorar sus redes en busca de más de estas amenazas de menor nivel, los operadores nucleares pueden reforzar su seguridad, agregó.

Los requisitos regulatorios han fortalecido la ciberseguridad de las plantas nucleares de los EE. UU., Y la mayoría de las plantas se construyeron hace décadas en sistemas analógicos que están protegidos de los ataques directos basados ​​en Internet. Pero la creciente digitalización de la industria está abriendo nuevos vectores potenciales para los piratas informáticos.

Uno de los primeros incidentes cibernéticos conocidos en una planta nuclear tuvo lugar en 1992 cuando el programador pícaro Oleg Savchuk infectó deliberadamente el sistema informático de una planta en Lituania con un virus. Savchuk fue arrestado y se convirtió en una nota de precaución en la historia de la seguridad nuclear. Tomaría un conjunto de eventos sísmicos mucho más para iluminar el peligro de las amenazas cibernéticas para los operadores nucleares.

En marzo de 2007, con los reguladores de energía de EE. UU. Observando, los ingenieros del Laboratorio Nacional de Idaho mostraron cómo 21 líneas de código de computadora podrían paralizar a un generador enorme, como escribe la periodista Kim Zetter en su libro. Fue solo a través de este asombroso experimento, conocido como Aurora, que algunos funcionarios de la industria energética llegaron a aceptar que las herramientas digitales son capaces de destrucción física.

Antes de Aurora, “había muchas personas que simplemente negaban el concepto de que cualquier tipo de daño físico pudiera ser causado o desencadenado por un evento cibernético”, dijo Marty Edwards, un experto de ICS que ayudó a diseñar el experimento, a The Verge. Dos años más tarde, el potencial destructivo mostrado en Aurora se convirtió en realidad. El famoso ataque Stuxnet inyectó un formidable gusano informático en las instalaciones de enriquecimiento de Natanz en Irán en 2009, destruyendo alrededor de 1.000 centrífugas. Se sospecha que Estados Unidos e Israel están detrás del ataque, que usó una unidad USB para entregar malware a sistemas “vacíos de aire”, o aquellos que no tienen conexiones directas o indirectas a Internet. Al hacerlo, los atacantes refutaron la idea de que dicho sistema era inmune a la piratería.

LOS ATACANTES LOGRARON LA HAZAÑA IMPROBABLE DE VIOLAR Y MANIPULAR LOS CONTROLES INDUSTRIALES FUERTEMENTE PROTEGIDOS DE UNA INSTALACIÓN NUCLEAR.

Los creadores de Stuxnet usaron cuatro exploits de software “zero-days” o previamente desconocidos, mientras que la mayoría de los grandes ataques cibernéticos usan uno como máximo. Los atacantes lograron la proeza improbable de violar y manipular los controles industriales fuertemente protegidos de una instalación nuclear. Al hacerlo, cambiaron la conversación sobre ciberseguridad en la industria nuclear, lo que provocó nuevas regulaciones y más inversiones en defensa.

Tan instructivo como fue Stuxnet, los oficiales nucleares solo pueden aprender mucho de un ataque y, debido a que los ataques exitosos son raros, hay un pequeño grupo de datos para aprender. Para algunos, la respuesta es crear sus propios ataques en un entorno controlado.

El ejercicio realizado en octubre pasado aprovechó el entorno de alta tecnología proporcionado por la Agencia de Investigación de Defensa de Suecia. Los funcionarios del OIEA y al menos 20 de sus países miembros, incluidos los Estados Unidos y China, vieron en las pantallas de televisión como ofensivos y los equipos cibernéticos defensivos combatieron. Los defensores lidiaron con todo, desde simples ataques de denegación de servicio hasta el escenario más insidioso de la computadora portátil de un contratista exponiendo una instalación a malware.

En un caso, utilizaron un controlador lógico programable de Siemens real. En otro, modelaron uno de los ataques del ejercicio en el hack 2015 de la red eléctrica ucraniana, uno de los mayores ataques del sector energético desde Stuxnet.

Los suecos documentaron meticulosamente lo que equivalía a un experimento científico. El audio y el video capturaron todos los movimientos de los participantes y pueden ser analizados posteriormente por un equipo de investigación. Sin embargo, el principal adelanto del experimento fue decididamente de baja tecnología: los participantes tuvieron que confiar el uno en el otro para navegar en un ambiente estresante.

Según Biverot, los especialistas en TI que participaron normalmente trabajan individualmente y no como equipo para manejar incidentes cibernéticos. Para cada participante, saber que “puedo llamar a este tipo si estoy en problemas” sería invaluable durante un incidente de seguridad, le dijo a The Verge .

“ES MUY IMPORTANTE ENTENDER EL VÍNCULO ENTRE LO QUE ESTÁ SUCEDIENDO EN EL CIBERESPACIO Y LO QUE ESTÁ SUCEDIENDO EN LA VIDA REAL”.

Los expertos en seguridad dicen que no hay sustituto para poner a los equipos cibernéticos de una organización bajo presión en un escenario intenso y creíble. “Es muy importante entender el vínculo entre lo que está sucediendo en el ciberespacio y lo que está sucediendo en la vida real”, dijo Dennis Granåsen, científico principal de la Agencia de Investigación de Defensa. “Si no haces eso, es muy fácil pensar en estos ejercicios como un juego en el que necesitas realizar un buen puntaje y eso es todo”.

Cuanto menos que los ejercicios parezcan un juego para los participantes, mejor preparados estarán para la realidad. El desafío, sin embargo, es que ejercicios tan rigurosos técnicamente como el sueco no han sido la norma en todo el sector nuclear mundial. Pueden ser costosos, tomar muchos meses para planificar, y pueden requerir traer conocimientos cibernéticos externos para perforar el personal de la planta. Los programas de ejercicio están creciendo en madurez y están incluyendo más equipos de color rojo, pero los expertos dicen que se necesita más trabajo.

Sin ayuda externa, muchos operadores lucharán para mantenerse al día con las amenazas cibernéticas, según Roger Brunt, ex alto funcionario de la Oficina de Regulación Nuclear del Reino Unido. Por esa razón, los operadores nucleares más grandes de Gran Bretaña recientemente han comenzado a contratar firmas de seguridad para investigar vulnerabilidades en sus redes de computadoras, dijo.

Si bien la seguridad y la protección son primordiales en las plantas nucleares, las consideraciones comerciales también entran en juego ya que muchas plantas, incluida la gran mayoría de las 61 en los EE. UU., Son de propiedad privada. El daño financiero y reputacional que un ciberataque exitoso podría causar ha llevado a algunos ejecutivos a recorrerlos con anticipación.

Dos semanas antes del ejercicio sueco, un grupo de abogados, aseguradores y ejecutivos nucleares se apretujaron en el centro de Londres para considerar un escenario alarmante: el malware había golpeado una estación de trabajo en una planta nuclear, provocando el cierre del reactor y un corte de energía para los residentes cercanos durante una ola de calor peligrosa

Mientras que el simulacro sueco era frikis y código informático, el de Londres era el de los abogados y las nobles palabras de jueces y acusados.

Una compañía de electricidad ficticia estaba en juicio simulado por decisiones que sus ejecutivos habían tomado antes del incidente inventado. No se habían asegurado de que el software de la planta se hubiera actualizado y de que los empleados estuvieran capacitados en seguridad. A pesar de una elocuente defensa de los ejecutivos, los jueces encontraron que la empresa era civil y penalmente responsable de los $ 1.700 millones en daños económicos y de otro tipo sufridos por el corte de energía, y para las 10 personas que murieron en la ola de calor.

Howsley dijo que estaba sorprendido por el veredicto criminal, pensando que el listón por las prácticas de seguridad condenatorias sería mayor. Pero es posible que eso sea a lo que se dirigen las normas legales, dado que compañías como Uber y Anthem han sido demandadas por supuestos regímenes de ciberseguridad de mala calidad .

“LA RENDICIÓN DE CUENTAS IMPULSARÁ UN MEJOR COMPORTAMIENTO”.

Entre los ejecutivos nucleares, “la rendición de cuentas impulsará un mejor comportamiento” sobre ciberseguridad, dijo Kathryn Rauhut, abogada y compañera no residente en el Stimson Center, que fue la anfitriona del ejercicio.

Rauhut dijo que, al elaborar el ejercicio, consideró varios escenarios que podrían suscitar un gran interés por parte de los ejecutivos nucleares. Nada resuena como la amenaza de una demanda civil o criminal por malas prácticas de seguridad. “Los CEO dijeron, ‘Whoa, esto es enorme. No sabía que era responsable “, le dijo a The Verge .

Howsley, un veterano de 35 años en la industria nuclear, ha visto a la industria adaptar sus estándares de seguridad después del desastre de Chernobyl en 1986, sus estándares de seguridad después de los ataques del 11 de septiembre y sus estándares de seguridad cibernética después de Stuxnet. El juego de adivinar de dónde vendrá la próxima amenaza puede ser enloquecedor.

“Alguien me dijo una vez, ‘El futuro es actuarial, la historia es forense'”, dijo Howsley, un inglés cerebral con un doctorado en botánica. “Si algo terrible sucede a las 3 en punto de esta tarde, la gente mirará atrás y dirá: ‘¿Cómo permitimos que esto suceda?’ Pero nos olvidamos de todas las cosas que nos preocupaban y no sucedieron”.

A medida que continúa la capacitación en el laboratorio y en la sala de juntas, los hackers en el mundo real están agudizando sus habilidades. Los años transcurridos desde Stuxnet han visto un repunte en las operaciones de piratería avanzada dirigidas a la infraestructura energética. La red eléctrica ucraniana ha sido un patio de recreo para los piratas informáticos, algunos de los cuales los analistas han rastreado a Rusia.

Un año después del ataque de diciembre de 2015, que cortó la energía para 225,000 personas, la red ucraniana fue atacada nuevamente en lo que Dragos dice que era una operación aún más sofisticada. “Los adversarios son cada vez más inteligentes, están creciendo en su capacidad para aprender procesos industriales y codifican y escalan ese conocimiento, y los defensores también deben adaptarse”, afirma el análisis del ataque realizado por la empresa.

La semana pasada, el gigante del software de energía Schneider Electric reconoció que los piratas informáticos habían explotado un defecto en su software de sistema de seguridad, conocido como Triconex, en una planta industrial, lo que provocó que la planta se cerrara. La compañía se ha negado a identificar la planta. Los sistemas Triconex se utilizan en una variedad de plantas, incluidas las de petróleo, gas y nuclear.

Este cambiante panorama digital está provocando que los gobiernos y las compañías energéticas se vuelvan más ambiciosos en la forma en que exploran los ataques. El objetivo es una comunicación más estricta y una confianza sin gas entre el gobierno y los operadores de infraestructura crítica, la gran mayoría de los cuales es de propiedad privada en los EE. UU.

“LOS ADVERSARIOS SE VUELVEN MÁS INTELIGENTES”.

En caso de un ataque cibernético grave, los operadores nucleares necesitarían tener agencias de marcado rápido para mitigar el daño. En los últimos días de la administración Obama, los funcionarios estadounidenses y británicos probaron estas líneas de comunicación en un ejercicio sin precedentes que llamaron Ionic Shield.

En una conferencia telefónica en noviembre de 2016, los funcionarios de la Casa Blanca y Downing Street observaron cómo un programa malicioso golpeaba las redes administrativas de plantas nucleares hipotéticas en Estados Unidos y Gran Bretaña. Los participantes probaron qué tan bien podían pasar la voz de un ataque extendido a través de la cadena de mando y tomar medidas correctivas. La comunicación entre los dos gobiernos y entre el gobierno y la industria funcionó bien, según Caitlin Durkovich, ex funcionaria del Departamento de Seguridad Nacional (DHS).

Sin embargo, Durkovich dijo a The Verge : “Creo que nos marchamos con el sentido de que la industria aquí [en Estados Unidos] se está comunicando con la industria allí [en Gran Bretaña], especialmente en lo que respecta a compartir información sobre amenazas”.

En junio de 2017, los funcionarios del DHS advirtieron a la industria de la energía que los piratas informáticos habían atacado la red informática de la instalación nuclear de Wolf Creek en Kansas. La amenaza era limitada y no involucraba seguridad u otros sistemas críticos, según dijeron expertos de seguridad a The Verge, pero sirvió como un recordatorio de que las instalaciones nucleares aún están en la mira de los hackers.

“La amenaza no va a desaparecer”, dijo Howsley. “Se volverá más sutil”.

Algunos hackers juegan el juego largo, permaneciendo en las redes periféricas durante meses con la esperanza de obtener un punto de apoyo en sistemas más críticos. Para los defensores de la red, mantener la urgencia en ausencia de ataques regulares y exitosos puede ser difícil. El valor de shock de eventos como Aurora y Stuxnet solo puede durar tanto como aquellos que los estudian vuelvan a sus rutinas. Los ejercicios rigurosos basados ​​en escenarios enervantes son fundamentales para mantener a los ingenieros y ciberdefensores en alerta.

Como dijo Phyllis Schneck, un ex funcionario de DHS: “Debes seguir mostrando a la gente una buena explosión cibernética de vez en cuando”.

Los informes para esta historia fueron apoyados por una subvención del Centro Pulitzer sobre Informes de Crisis.