Es noticia
Atacar centrales nucleares es mucho más fácil de lo que pensábamos
  1. Tecnología
  2. Novaceno
Ciberseguridad

Atacar centrales nucleares es mucho más fácil de lo que pensábamos

Investigadores neerlandeses han probado lo fácil que es 'hackear' sistemas como los que controlan las redes eléctricas, reactores nucleares o sistemas de agua de todo el mundo

Foto: Los investigadores consiguieron entrar en el sistema en solo dos días. (Getty)
Los investigadores consiguieron entrar en el sistema en solo dos días. (Getty)

Dos investigadores de ciberseguridad neerlandeses, han sido capaces de penetrar un sistema como el que se usa para controlar las redes eléctricas, reactores nucleares, sistemas de agua o los gasoductos. A pesar de que cualquier fallo en este tipo de infraestructuras podría desembocar en un desastre que puede afectar a la vida de miles de personas y costar cientos de millones, ambos aseguran que ha sido sorprendentemente fácil. Lo consiguieron en solo dos días en los ratos libres que les dejaba su trabajo.

Foto: Fotografía de la nebulosa de la Mariposa (NGC 6302) tomada por el Hubble (NASA/ESA)

La semana pasada tuvo lugar en Miami el Pwn2Own, el concurso de ‘hacking’ más importante del mundo donde investigadores y profesionales intentan encontrar fallos críticos en sistemas como los del IPhone, el Zoom o Windows. Esta plataforma anima a los investigadores a encontrar vulnerabilidades en los sistemas informáticos de las empresas a cambio de una jugosa recompensa. Solo en la edición anterior se repartieron 2 millones de dólares en premios.

Este año los ganadores han sido los investigadores Daan Keuper y Thijs Alkemade, que se han llevado 90.000 dólares por encontrar un error en la comprobación de aplicaciones confiables del protocolo de comunicaciones OPC UA (Arquitectura Unificada de Comunicaciones de Plataforma Abierta): un 'lenguaje' que se usa en todo el mundo para que las distintas partes de un proceso industrial puedan hablar entre ellas, sobre todo las que tienen que ver con las máquinas.

"OPC UA se utiliza en todo el mundo industrial como conector entre sistemas", dice Keuper. "Es un componente central de las redes industriales típicas, y podemos saltarnos la autenticación que normalmente se requiere para leer o cambiar cualquier cosa. Por eso a la gente le pareció lo más importante e interesante".

placeholder En el centro Daan Keuper y Thijs Alkemade. (ZDI)
En el centro Daan Keuper y Thijs Alkemade. (ZDI)

Los investigadores no son recién llegados a este concurso. En 2012 ya se embolsaron 30.000 dólares al ‘hackear’ un iPhone que acababa de salir al mercado. Aunque entrar en el teléfono de Apple no les fue tan sencillo, emplearon tres semanas, también en su tiempo libre, en poder tener acceso a toda la libreta de direcciones, la base de datos de fotos y vídeos y el historial de navegación. Más tarde, en 2018, encontraron vulnerabilidades en los coches Volkswagen y el año pasado lo hicieron con algunas aplicaciones del coronavirus y el programa de videollamada Zoom.

"Investigo en beneficio del público para ayudar a que el mundo sea un poco más seguro", dice Alkemade, "hacemos cosas que llaman mucho la atención para que la gente nos escuche. No se trata del dinero. Es la emoción y demostrar lo que podemos hacer".

Unas Infraestructuras con seguridad muy débil

Este año el objetivo del Pwn2Own eran los sistemas de control industrial que funcionan en instalaciones críticas. Los participantes fueron capaces de tumbar todos los objetivos que les presentaron para después compartir sus descubrimientos para que los fallos puedan ser corregidos. Algo que es de gran ayuda para los patrocinadores que pagan la fiesta y los premios, pero que muestra claramente la debilidad de los sistemas de control de nuestras infraestructuras más vitales.

"Los sistemas de control industrial todavía son muy asequibles. La seguridad va muy retrasada", dice Keuper. "Este es definitivamente un entorno más fácil de operar", coincide Alkemade.

placeholder Los investigadores tardaron solo dos días en entrar en el OPC UA. (ZDI)
Los investigadores tardaron solo dos días en entrar en el OPC UA. (ZDI)

Este tipo de sistemas ya ha tenido problemas en la vida real. En 2015 unos ciberdelincuentes, presuntamente de los EE.UU. e Israel, lanzaron un ataque que tenía como objetivo sabotear el programa nuclear de Irán. Los ‘hackers’ sabotearon los controladores de las centrifugadoras de gas utilizadas para separar los materiales nucleares y además manipularon también los mensajes que recibían los operadores iraníes haciéndoles ver que todo iba bien. Esto hizo que los operarios tardaran más en darse cuenta de lo que sucedía y que el ataque fuera mucho más duradero.

El verano pasado otro grupo de cibercriminales encontró una vulnerabilidad en una contraseña del sistema informático que administra el Colonial Pipeline, el mayor oleoducto de combustible de EE.UU. Esto provocó el primer cierre del oleoducto en 57 años de historia y que el presidente Joe Biden declarara el estado de emergencia. La escasez de gasolina afectó en la costa este e hizo que subieran los precios del carburante en el país americano.

Foto: Uno de los centros de control de US Cyber Command. (US Cyber Command)

También durante la actual invasión de Ucrania tanto los EE.UU. como Europa han alertado del riesgo de ciberataques por ‘hackers’ rusos a redes eléctricas, reactores nucleares, sistemas de agua o gasoductos ucranianos. Si consiguen llevar a cabo un acción de este tipo podrían desestabilizar el país aún más y poner en problemas tanto al ejército ucraniano como a sus ciudadanos.

Un problema de difícil solución

Como apunta el MIT Technology Review, limpiar un sistema de ‘bugs’ o de agujeros de seguridad que pueden permitir la entrada de ‘hackers’ no es tan fácil en las grandes infraestructuras como lo es en un IPhone. Un teléfono se puede actualizar o cambiar por un nuevo modelo fácilmente, pero las infraestructuras en muchos casos no se pueden parar para poner al día su seguridad.

En ocasiones se trata de sistemas que llevan décadas funcionando y apagar el sistema para actualizarlo significa detener su producción. "En los sistemas de control industrial, el campo de juego es completamente diferente", asegura Keuper. "Hay que pensar en la seguridad de forma diferente. Necesitamos soluciones revolucionarias”.

Dos investigadores de ciberseguridad neerlandeses, han sido capaces de penetrar un sistema como el que se usa para controlar las redes eléctricas, reactores nucleares, sistemas de agua o los gasoductos. A pesar de que cualquier fallo en este tipo de infraestructuras podría desembocar en un desastre que puede afectar a la vida de miles de personas y costar cientos de millones, ambos aseguran que ha sido sorprendentemente fácil. Lo consiguieron en solo dos días en los ratos libres que les dejaba su trabajo.

Ciberespionaje Tendencias de futuro
El redactor recomienda