'Hackear' la red ferroviaria es posible: así se paraliza todo un país

Es probable que recuerden la trama de La Jungla 4.0. Aquella aventura del John McClane interpretado por Bruce Willis se cimentaba bajo una idea, el caos total, que ponía a un país entero de rodillas. Y lo hacía porque todos los servicios estratégicos estaban conectados por red.

Un colectivo de investigadores dedicados a trabajar en temas de seguridad informática ha hecho público en los últimos días una investigación que alerta de los riesgos que corren los servicios ferroviarios del planeta. Para un hacker, "es absolutamente sencillo" acceder y abusar de las vulnerabilidades que hoy en día están expuestas. O eso es lo que concluye el trabajo.

SCADA Strangelove, nombre por el que se conoce a este grupo, se dedica a buscar vulnerabilidades en sistemas de control industrial para alertar a las autoridades correspondientes de cara a los peligros que corren si no se ponen al día. Esas vulnerabilidades han dado lugar a la charla de este año, que se puede consultar (en inglés) sobre estas líneas, aunque en el pasado se han tocado otros temas como los problemas que presentan las infraestructuras de las energías renovables.

La charla de SCADA puso el acento en la obsolescencia de los sistemas de seguridad de la industria ferroviaria. A ello ha contribuido el salto a la red que han dado un buen número de esos sistemas en los últimos años. Hasta hace relativamente poco, estaban gobernados de manera manual por el operario de turno.

"La seguridad no era tan elevada como la de un banco", explica David Barroso, especialista en ciberseguridad y fundador de CounterCraft. "No existía el acceso remoto y te quitabas muchas amenazas porque era muy complicado adentrarse. Eso ha cambiado. Antes era difícil acceder a esos dispositivos si no se trabajaba en ese sector. Ahora, hay gente que compra aparatos industriales de centrales eléctricas, nucleares o de estaciones de tren en eBay. Sucedió con los cajeros automáticos, hubo un boom unos años atrás gracias a que se habían comprado por eBay".

Infraestructuras críticas, un paso por detrás

José Rosell, CEO de S2 Grupo, compañía dedicada a la seguridad informática, pone el acento en uno de los hechos destacados por Barroso: "Los sistemas de control industrial han estado aislados mucho tiempo y no se han diseñado desde la seguridad, por lo que no han tenido en cuenta el escenario de hiperconexión en el que trabajamos. En aras del beneficio común, estos servicios se han conectado a internet y eso ha hecho que esos sistemas, que estaban aislados y sólo se podían atacar mediante el acceso físico, estén hoy conectados a internet y sean vulnerables".

Esos protocolos de seguridad se diseñaron en los años sesenta, setenta u ochenta y estaban cerrados, de manera que sólo podían acceder muy pocas personas. Ahora se han actualizado para dotar de acceso remoto a una estación de ferrocarril en medio de la nada y así monitorizar su funcionamiento. La conexión se puede producir vía satélite, por ADSL o por fibra.

Los protocolos de seguridad se diseñaron en los años sesenta, setenta u ochenta y estaban cerrados para que accedieran muy pocas personas

En la investigación de SCADA no se dan nombres concretos aunque uno de los miembros del colectivo dejó claro en Motherboard que los sistemas ferroviarios más modernos "están conectados a internet", con lo que ello implica. David Barroso sí que pone puntos sobre las íes: "En el caso español se han preocupado en poner buenas medidas de seguridad y el acceso es difícil, aunque no imposible. Es muy, muy complicado. En otros sistemas u otros países, como Estados Unidos, puede ser más o menos fácil".

Qué se obtendría una vez burlada la seguridad de Renfe o de Adif? "Cuando entras en un sistema, las capacidades de actuación son las que tiene una persona con credenciales y capacidad para actuar sobre ese sistema. Es muy difícil, pero podría hacerse", reconoce Rosell. El CEO de S2 Grupo también tiene claro que acceder a una infraestructura crítica como podría ser la ferroviaria: "No esta al alcance de cualquiera y es una maniobra muy compleja. Tecnológicamente, no hace falta mucho. Un ordenador y una conexión a internet. Pero lo importante no es la tecnología sino el conocimiento técnico, que es muy complicado y muy escaso".

Detrás de una investigación como la de SCADA se esconde, en palabras de Barroso, la intención de denunciar una situación potencialmente peligrosa aunque no tenga mucho sentido que un hacker se cuele en su interior: "Un investigador pone en boga que hay que preocuparse de la seguridad, es una especie de denuncia pública. Alguien con mala intención puede sabotear o cometer actos terroristas, chocar trenes o provocar un daño físico al modificar los semáforos del sistema ferroviario".

Aumento exponencial de los ataques

Todos los entrevistados ponen de relieve el aumento anual de los ataques informáticos. "Vivimos una ciberguerra fría en la que hay episodios que no se declaran o no se anuncian públicamente. Pero se dan más de 1.000 ataques graves en un año", enumera Rosell.

La cifra no se nombra al azar. El Centro Criptológico Nacional listó, en su informe de actividades de 2013 y 2014, más de un millar de ofensivas con un nivel de peligrosidad entre muy alto y crítico durante el año pasado. Este número supuso un 10% de los ataques recibidos durante el año pasado, que ascendieron a 12.916. Comparado con años anteriores, la tendencia al alza es evidente: en 2012, España fue víctima de 3.998 operaciones mientras que en 2013 el dato aumentó hasta los 7.259.

"En seminarios y conferencias se ha levantado la voz de alarma sobre el aumento de los ataques centrados en infraestructuras críticas. El incremento es exponencial", afirma Fernando Sánchez, de la Asociación para la Protección de las Infraestructuras Críticas (APIC). "Llama la atención el aumento de los ciberataques que se sospecha que son delincuencia organizada. Existe una demanda y hay sectores que solicitan que se hagan esos ataques, que se realizan por encargo".

Esas infraestructuras críticas están listadas en la ley 8/2011 por la que se establecen medidas para la protección de las infraestructuras críticas y que identifica una docena de sectores esenciales para que el estado prepare, prevenga y responda ante un hipotético ataque.

La ley cifra en doce los sectores donde se encuentran infraestructuras críticas para el correcto funcionamiento de un país

Los sectores listados en la ley son los siguientes: administración, espacio, industria nuclear, industria química, instalaciones de investigación, agua, energía, salud, tecnologías de la información y las comunicaciones, transporte, alimentación y el sistema financiero y tributario.

"El ministerio de Interior las considera esenciales para el desarrollo de la actividad de un país. Aunque se conocen los sectores críticos, es el ministerio el que identifica qué infraestructuras son críticas. Cada una es secreta", relata Sánchez.

Esos sectores son los mismos que el grupo terrorista de La Jungla 4.0 ataca para provocar el descontrol en Estados Unidos, un escenario que Rosell considera más que posible. "No lo digo yo, hay informes del World Economic Forum. En la película, un grupo de hackers ataca los sistemas de control industrial que gestionan los semáforos de una ciudad o la generación de electricidad. Con cortar la electricidad de una ciudad causas el caos en unas horas. Está calculado que a las 48 horas empiezan los saqueos y el caos es total. Trabajamos mucho en nuestra defensa, hemos tomado conciencia como gobiernos y como estados de lo que puede pasar y hacemos mucho para evitar que esas situaciones sean reales. Pero son posibles".