El fallo permite simular fugas radioactivas

Un 'hacker' español descubre un grave fallo de seguridad en centrales nucleares

Rubén Santamarta ha descubierto un fallo que permite a un atacante simular fugas radioactivas (o evitar que estas se detectan). Presentará por primera vez su hallazgo en EEUU

Foto: Rubén Santamarta. (Reuters)
Rubén Santamarta. (Reuters)

Rubén Santamarta, leonés de 35 años e investigador en la empresa IOActive, ha descubierto importantes fallos en sistemas de monitorización de radiación nuclear que afectan a centrales de todo el mundo, incluida España. El Centro Nacional para la Protección de Infraestructuras Críticas (CNPIC, dependiente del Ministerio de Interior) y el Instituto Nacional de Ciberseguridad (INCIBE, dependiente del Ministerio de Energía, Turismo y Agenda Digital) han trabajado con Santamarta para informar a las centrales españolas afectadas por este problema, cuyos detalles técnicos serán revelados por primera vez a finales de este mes.

Mercè MolistMercè Molist

En España hay cinco centrales nucleares en activo: Almaraz, Ascó, Cofrentes, Trillo y Vandellós II (una sexta central, Santa María de Garoña, está en fase de cese de explotación). Almaraz y Ascó tienen dos unidades gemelas, por lo que el número de reactores es de siete. No se sabe cuáles de ellas están afectadas por el fallo de seguridad ni se sabrá, confirma Santamarta a Teknautas, quien se limita a afirmar que "algunas sí lo están". La razón de este secretismo es que, a diferencia de otras centrales, especialmente en Estados Unidos, donde hay información pública sobre qué marca de sensores tienen instalados, en nuestro país estos datos son confidenciales.

Santamarta cuenta con un amplio prestigio internacional en la localización de fallos informáticos en sectores tan críticos como la aviación o, ahora, las centrales nucleares. Presentará esta investigación en público y por primera vez en la conferencia Black Hat, el 26 de julio en Las Vegas. Allí desvelará los datos más técnicos, así como el nombre del fabricante de los dispositivos afectados.

Rubén Santamarta. (Reuters)
Rubén Santamarta. (Reuters)

Los sensores que ha estudiado Santamarta detectan los niveles de radiación en perímetros de diferentes kilómetros alrededor del mismo reactor e incluso se ponen en los trajes de los buzos cuando realizan trabajos en las piscinas de enfriamiento. La información monitorizada por estos sensores se manda por radio a los ordenadores de control, que a partir de la misma muestran los avisos correspondientes al personal.

Estos sensores no son específicos de las centrales nucleares. Se ponen también en drones y, como reza la presentación de la charla que dará Santamarta en Las Vegas, a la que ha tenido acceso Teknuatas, también "infraestructuras críticas como puertos marítimos, fronteras e incluso hospitales están equipados con dispositivos de monitorización de la radiación, para detectar y prevenir peligros que van desde el contrabando de materiales nucleares hasta la contaminación por radiación".

Un atacante podría simular una fuga de radiación que en realidad no sería tal o, al revés, evitar que se detectase una fuga

El leonés lleva meses investigando estos dispositivos, centrándose sobre todo en "cómo un atacante podría falsificar los datos que llegan a la sala de control". Y sus conclusiones son contundentes: "En términos de seguridad estos dispositivos tienen fallos de diseño en varios componentes". Esto significa, para entendernos, que todo es vulnerable en estos sensores, desde el 'software' que usan hasta el protocolo que manda los datos por radio, sin cifrarlos.

El exhaustivo análisis de Santamarta ha comprendido el 'hardware' de los sensores, el 'firmware', que ha copiado mediante ingeniería inversa, y el protocolo de radio, que también ha descifrado con ingeniería inversa y puesto a funcionar con un dispositivo SDR (Software Defined Radio).

Simular fugas radioactivas

El Instituto Nacional de Ciberseguridad (INCIBE), que ha estado colaborando con Santarmarta en el análisis del fallo, reconoce que recibió la comunicación del mismo el pasado 30 de mayo, aunque asegura que, de haberse explotado para un ciberataque, el funcionamiento de las centrales no se habría visto afectado.

Central nuclear de Ascó I
Central nuclear de Ascó I

“El fallo de seguridad fue comunicado por Rubén Santamarta al CERTSI (Centro de Respuesta a Emergencias de Seguridad de la Información del Ministerio de Energía, Turismo y Agenda Digital) a través del CNPIC. A partir de ese momento, desde el CERTSI se notificó a los operadores del sector nuclear para proteger los sistemas, redes y activos que pudieran verse afectados. Además, el fabricante del 'software' se puso en contacto con diferentes CERTs europeos para notificarles la situación. En cualquier caso, las vulnerabilidades no hubieran afectado a la operativa de funcionamiento de las centrales y mucho menos provocado riesgo alguno, ya que las redes corporativas están separadas de los sistemas de generación de energía propios de dichas instalaciones", explica un portavoz del CNPIC.

Teniendo en cuenta el punto de investigación del que partía, Santamarta no tiene ninguna duda sobre si un atacante podría falsificar los datos recogidos por los sensores y el daño que podría hacer. El 'hacker' leonés es rotundo: "un atacante podría simular una fuga de radiación que en realidad no sería tal o, al revés, evitar que se detectase una fuga". Es decir, la vulnerabilidad podría dar lugar a serios ciberataques sobre estas infraestructuras críticas.

Peligro de ciberataque nuclear

Los datos sobre ciberseguridad en centrales nucleares en España son muy opacos. Según el "Estudio sobre la cibercriminalidad en España" se sabe que hubo cuatro ciberataques a centrales españolas en 2014 y cinco en 2015, sin más detalles. En la web del Consejo de Seguridad Nuclear (CSN) hay un apartado que advierte que los sistemas informáticos usados en instalaciones nucleares "deben estar protegidos contra el riesgo en consonancia con la evaluación de las amenaza o el riesgo basado en el diseño".

Precisamente, el famoso ataque del ransomware Petya, la semana pasada, puso sobre la mesa este problema, cuando inutilizó los dispositivos de monitorización de la radiación de la central de Chérnobil, obligando a cerrar la central y hacer las mediciones de forma manual.

Los fallos no tienen solución porque son de diseño y no se van a parchear. Son irresolubles y así se van a quedar

El primer accidente conocido en una central nuclear relacionado con fallos en las medidas de los instrumentos se dió en Estados Unidos en 1979, en la central de Three Mile Island: los operadores de la sala de control empezaron a recibir señales equivocadas de los sensores y actuaron en base a ellas, lo que provocó el accidente nuclear más importante en suelo norteamericano. Es un problema similar al que podría desencadenar el fallo descubierto por Rubén si cayera en malas manos.

Santamarta está contento porque los fabricantes de los sensores han confirmado el problema, a diferencia de otras investigaciones, como la que demostró errores en sistemas informáticos de aviones, cuyos fabricantes se mostraron muy reticentes a admitirlos.

En esta ocasión lo preocupante no ha sido la mala predisposición de los fabricantes sino que, explica Santamarta, "los fallos no tienen solución porque son de diseño y no se van a parchear". Son irresolubles y así se van a quedar, dado que por temas de compatibilidad los sistemas no solo no se pueden parchear, tampoco se pueden cambiar. Lo único que puede hacerse es, dice Rubén, "difundirlo tanto como sea posible, para que todos los actores implicados sepan que existe el problema".

Tecnología

El redactor recomienda

Escribe un comentario... Respondiendo al comentario #1
1comentario
Por FechaMejor Valorados
Mostrar más comentarios