El servicio de distribución de agua de Illinois puede haber sido la primera infraestructura crítica norteamericana en sufrir un ciberataque desde el extranjero.
Los atacantes, que presumiblemente habrían utilizado un servidor ubicado en Rusia para acceder al sistema, utilizaron las claves de acceso que previamente habían obtenido de un proveedor relacionado con el sistema de control industrial que permite la automatización y la gestión remota de este tipo de infraestructuras.
El resultado del ataque fue la desactivación de una bomba del servicio de distribución de agua.
El proceso seguido para el ataque se aprovechó, supuestamente, de los eslabones más débiles de la cadena de seguridad siguiendo un plan que podría ser probablemente el siguiente:
1. Identificación de los proveedores que tienen acceso al sistema de control industrial (SCADA) o prestan servicios que exigen tener dicho acceso. A través de cualquier buscador se pueden localizar las páginas web de los proveedores que ofrecen estos servicios o productos.
2. Selección de los proveedores que pueden ser más vulnerables a un acceso no autorizado o a una estrategia de ingeniería social. Algunos indicadores externos pueden ser el haber realizado recientemente un ajuste de plantilla o haber aplicado un severo plan de austeridad presupuestaria (aunque ello no debería afectar teóricamente a la seguridad de sus sistemas).
3. Obtención de las claves de acceso mediante un ataque al sistema del proveedor o un engaño a sus empleados.
4. Selección de un servicio público como vía de acceso al sistema de control industrial por considerar que, al depender del sector público, estará afectado por restricciones presupuestarias y los sistemas de seguridad no estarán actualizados.
5. Acceso al sistema de la infraestructura crítica y obtención de los privilegios necesarios para actuar sobre los controles que permiten gestionar local y remotamente la infraestructura.
De confirmarse las características del ataque, el método utilizado y las vulnerabilidades explotadas por los atacantes, las conclusiones son obvias, y las recomendaciones a los operadores de infraestructuras, también:
1. La seguridad debe estar al margen de cualquier restricción presupuestaria, pública o privada.
2. El control en materia de seguridad debe extenderse a los proveedores, aplicando un estricto sistema de homologación y auditoría continuada.
3. El sistema de control SCADA debe ser objeto de una profunda revisión y actualización continuada en materia de seguridad, si se confirman sus posibles vulnerabilidades en relación al protocolo TCP/IP.
4. Debe acelerarse el desarrollo y la aplicación de los planes de protección de infraestructuras críticas.
5. Los operadores de infraestructuras críticas y sus proveedores deben aplicar normas internas y ampliar la formación de sus empleados en materia de seguridad e ingeniería social
Normas relacionadas
Resolución de la Secretaría de Estado de Seguridad por la que se acuerda la apertura del trámite de información pública respecto a las guías de contenidos mínimos del Plan de Seguridad del Operador y del Plan de Protección Específico como instrumentos de planificación del Sistema de Protección de Infraestructuras Críticas