20/02/17 | Por Noticias TNE
El pronóstico es que el secuestro de datos vaya un paso más adelante. Ya no sólo sería obtener información, sino el comprometer todo un sistema que ponga en riesgo la vida de miles (incluso millones) de personas.
Investigadores del Instituto Tecnológico de Georgia desarrollaron un malware malicioso con el fin de, en un ambiente controlado, tomar control de una planta de tratamiento de agua simulada y, de manera exitosa, modificar los aditivos que se la agregan al líquido.
David Formby, candidato a doctorado y su asesor en la facultad, el profesor Raheem Beyah, pudieron realizar modificaciones en la programación al apagar las válvulas, incrementar los niveles de cloro y presentar lecturas falsas.
El ataque tuvo como objetivo exponer las vulnerabilidades de los sistemas de control usados para operar las fábricas o la administración en los edificios (escaleras eléctricas, elevadores o el aire acondicionado).
“Tuvimos la posibilidad de emular a un hacker que tuvo acceso a esta parte del sistema, manteniéndola como rehén y amenazando con derramar grandes cantidades de cloro en agua a menos que el operador pagara el rescate”, comentó Formby.
Para realizar el estudio se usó un motor de búsqueda especializado para localizar 1400 controladores lógicos programables (PCL, por sus siglas en inglés) de un sólo tipo que estuvieran conectados a Internet.
Los operadores pueden creer erróneamente que sus sistemas de PLC no son vulnerables por considerar que están diseñados para no tener acceso directo a Internet o encontrarse en una red pública, pero como lo menciona Formby, “estos regularmente están conectados de alguna manera”.
Si lo anterior ocurre de manera real, la capacidad para prevenirlo resulta limitada y sólo queda cumplir con las demandas de los atacantes. Situaciones como estas, además de ser más comunes con el paso del tiempo, pondrán en riesgo la vida de las personas.
Una gran parte de los sistemas de control industrial carecen de adecuados protocolos de seguridad; y sólo porque hasta ahora no se han dado situaciones de esta índole, no significa que no deban protegerse.
Una de las fallas más comunes respecto a los sistemas de controles se refiere a la forma de autenticar la actividad del usuario. Cualquier persona que cuenten con acceso a la red, sin importar si es legítimo o no, puede gestionarlo; por otra parte, las políticas para las claves de acceso son otra preocupación y, a pesar de la creencia de que no hay una conexión a la red, el mantenimiento se hace de manera remota y las actualizaciones críticas requieren de una conexión en línea, dejando la puerta abierta, pudiendo ser aprovechada por los ciberdelincuentes.
Durante el primer cuarto de 2016, el ransomware generó 200 millones de dólares y los investigadores consideran que sólo es cuestión de tiempo antes de que sistemas industriales críticos sean retenidos como “rehenes” a fin de obtener un rescate.
