Un ataque informático deja seis horas sin electricidad a miles de personas
19/01/2016Publicat a: El Confidencial
El gobierno de Ucrania señala a Rusia como responsable del apagón que sufrieron diversas centrales eléctricas del país, en un ataque con virus informáticos. 80.000 personas se quedaron sin electricidad durante 6 largas horas, abandonadas al frío del 23 de diciembre. El mismo virus ha hecho saltar las alarmas hace unos días, al ser detectado en la red que controla el tráfico aéreo del aeropuerto de Ucrania.
El virus se llama BlackEnergy (https://www.f-secure.com/documents/996508/1030745/blackenergy_whitepaper.pdf) y es el primero en la historia -que conozcamos- involucrado en un apagón eléctrico generalizado. Antes que él, Stuxnet (http://securityaffairs.co/wordpress/43677/malware/new-revelations-stuxnet-attack.html), obra de Israel y Estados Unidos, dañó seriamente diversas centrales nucleares iraníes, pero no dejó a nadie sin luz.
BlackEnergy es sólo una de las piezas usadas en el ataque, llevado a cabo por mercenarios informáticos del más alto nivel, lo que hace suponer que quien puede pagar sus salarios tiene mucho dinero, posiblemente un gobierno. Pero, aunque el virus BlackEnergy es de factoría rusa y Ucrania, después de dos años de guerra con Rusia, no duda en señalar a este país como culpable, los expertos no lo confirman ni desmienten porque los atacantes han tapado muy bien sus huellas (http://www.securityweek.com/ukraine-accuses-russia-attack-kiev-airport).
Las investigaciones del norteamericano SANS Institute (https://ics.sans.org/blog/2016/01/09/confirmation-of-a-coordinated-attack-on-the-ukrainian-power-grid) concluyen que estaríamos ante un ataque sofisticado realizado por un equipo de expertos informáticos que usaron diversas "armas" cibernéticas, entre ellas BlackEnergy: "Los atacantes tenían un plan, estaban coordinados y sabían como usar virus y programas de acceso remoto para cegar las defensas del sistema y provocar cambios no deseados en su infraestructura".
El "timeline" del ataque (http://blog.knownsec.com/wp-content/uploads/2016/01/Malicious-Code-Analysis-on-Ukraines-Power-Grid-Incident-L150113.pdf) sería como sigue: un día, un empleado de una central eléctrica de Ucrania recibió un mensaje de correo electrónico que le animaba a pinchar en un documento adjunto. Al hacerlo, se instaló un código malicioso en su ordenador, que lo conectó al ordenador de los criminales y abrió una puerta trasera. Por esta puerta entró BlackEnergy, un virus del tipo "troyano" que se instaló en tantos ordenadores como pudo y allí se quedó, en silencio, espiando los movimientos en la central.
En un momento dado, los atacantes instalaron a distancia un nuevo módulo a BlackEnergy, llamado KillDisk. KillDisk está programado para destruir archivos vitales de los ordenadores de una central eléctrica. Después manipularon remotamente los ordenadores para provocar los apagones y, acabado el trabajo, activaron KillDisk, que destruyó los discos duros borrando así las huellas de los hackers en el sistema.
Para provocar más confusión, orquestaron un bombardeo cibernético de los sitios web y centrales telefónicas de la compañía, de forma que los clientes no podía llamar a la misma ni ser informados por web sobre lo que había pasado.
Aunque a muchos nos pueda parecer una película al estilo "Misión Imposible", Samuel Linares, Senior Lead Technologist en Booz Allen Hamilton y cofundador del Centro de Ciberseguridad Industrial (https://www.cci-es.org/), no le ve "nada raro, lo raro es que se haya publicado". Según Linares, hay precedentes de otros ataques de grupos organizados sobre importantes infraestructuras críticas, "algunos públicos y otros no tanto, y no ocurren más porque no existe el interés de ningún grupo en ejecutarlos".
Esta es hoy en día una de las grandes preocupaciones de gobiernos de todo el mundo: las graves inseguridades que presentan muchos sistemas críticos, como plantas nucleares, centrales eléctricas o sistemas de control del tráfico. Corre por los foros públicos de Internet -no queremos ni imaginar qué corre por los no públicos- una lista con las credenciales por defecto de 100 productos usados en Sistemas de Control Industrial (http://blog.segu-info.com.ar/2016/01/publicados-contrasenas-de-100-sistemas.html). Las empresas no suelen cambiar estas contraseñas de fábrica, que se convierten así en puertas abiertas, peritas en dulce para terroristas cibernéticos.
"Las infraestructuras críticas tienen debilidades y en estos momentos hay grupos recolectando información sobre ellas en casi todos los países, de igual forma que hace décadas se recolectaba otro tipo de información de inteligencia para ser explotada en el momento necesario", asegura Linares. ¿Y en España? "Aunque estuviésemos bien protegidos, algo que no se puede afirmar rotundamente, algo así podría pasar en cualquier momento".
De hecho, la mayor preocupación de Linares no es si podría pasar algo así, sinó "si realmente ya está pasando o ha pasado". Y es que, asegura, "ante ciberataques de estas dimensiones, patrocinados por estados, con altísimos recursos disponibles, no hay nada que podamos hacer". Pero... ¿qué buscaría un estado al dejar a 80.000 sin luz? ¿Una demostración de fuerza?. "Yo diría que es un toque de atención: se puede hacer, puedo hacerlo, lo he hecho, ¿quieres que lo haga otra vez de otra forma?", sugiere Samuel.
La semana pasada, el troyano BlackEnergy era detectado otra vez en Ucrania (http://uk.reuters.com/article/uk-ukraine-cybersecurity-malware-idUKKCN0UW0S7), en un ordenador del aeropuerto. No pasó nada y el virus fue eliminado, pero elevó las alertas al máximo: nadie sabe el alcance de la plaga, cuántos más troyanos estarían escondidos en qué ordenadores, que podrían afectar cuáles comunicaciones ferroviarias u otros puntos críticos.
De hecho, ya hace unos años que las repúblicas ex soviéticas tienen que lidiar con ataques informáticos de posible origen ruso. BlackEnergy nació en 2007 de la mente de un programador ruso, que lo vendía en el mercado negro como herramienta para realizar bombardeos cibernéticos. Vivió sus primeros días de fama en 2008, cuando se usó para atacar las redes de Georgia en su conflicto con Rusia.
Pasaron los años y el autor de BlackEnergy lo fue modificando para ampliar clientela. Así, lo hemos visto en fraudes bancarios o distribución de correo basura, hasta llegar a la más alta meta de un virus troyano: el espionaje electrónico con motivación política. En 2014, BlackEnergy fue detectado en más de 100 organizaciones gubernamentales y empresariales de Polonia y Ucrania. También en ordenadores de la OTAN, la burocracia europea, una universidad norteamericana y un proveedor francés de telecomunicaciones.
Pero quien más ha sufrido a BlackEnergy es sin duda Ucrania. En noviembre de 2015, en plenas elecciones municipales, diversos medios de comunicación vieron importantes archivos borrados de sus ordenadores, infectados con BlackEnergy y su módulo KillDisk. Adaptado ahora para atacar sistemas industriales, KillDisk es el icono de un mundo en el que las infraestructuras críticas, medios de comunicación incluídos, se han convertido en principal objetivo.
Según una reciente encuesta a la industria del gas y el petróleo, los ataques informáticos a estas instalaciones se han incrementado de forma generalizada. La mitad de encuestados aseguran que el incremento ha sido de entre el 50 y el 100% en el último mes. Hablamos de unos sistemas críticos cuya desatención a la seguridad informática de sus equipos y personal es legendaria.
Un incidente como el de Ucrania nos demuestra que, con un simple clic en un adjunto de correo electrónico, se puede iniciar un desastre que deje a hospitales e industria seis horas sin energía eléctrica. ¿Hay forma de prevenirlo? "Debemos buscar la visibilidad total e integrada de lo que está pasando en nuestras infraestructuras desde el punto de vista ciber, físico, etc y correlacionar todos los eventos de forma integrada. Esto es casi ciencia-ficción salvo en casos muy puntuales, pero es la única forma", afirma, contundente, Samuel Linares.
Mercè Molist