Tratar de despertar la conciencia de los riesgos en cuestiones de ciberseguridad en mis compañeros a cargo de instalaciones industriales es una tarea ardua. Hemos hablado en varias ocasiones de ello, poniendo de relevancia cómo el desconocimiento del funcionamiento y procedimientos de trabajo en los entornos TIC hace que los riesgos y mecanismos de ataque sean inconcebibles para estos ingenieros. Digo inconcebibles en el sentido estricto, es decir: no algo con una probabilidad muy baja de ocurrir, sino algo en lo que ni siquiera se puede pensar por carecer de los fundamentos culturales y la experiencia necesarios para ello.
La respuesta más habitual es la negación, articulada en torno a varias falacias que suelen justificar la sensación de seguridad. Una de ellas es la confianza en los mecanismos de protección físicos de las propias instalaciones o equipos: es decir, en los enclavamientos de seguridad implementados mediante sistemas mecánicos o eléctricos que funcionan de forma autónoma, sin requerir de procesamiento o elementos de comunicación y que, por tanto, se suponen invulnerables a un ciberataque. En cierto modo, en el esquema mental de un ingeniero de control (me incluyo), estos sistemas constituyen la última línea de defensa, absolutamente aislada y autónoma de cualquier incidencia en los sistemas basados en procesadores, también cuando esos procesadores son humanos y se emplean para evitar daños por operaciones manuales indebidas.
En mi propia experiencia el diseño de la instalación de control siempre se ha basado en el establecimiento de dos niveles:
- Un nivel superior basado en la instrumentación electrónica y en algoritmos de proceso que, por su propia naturaleza, permiten una regulación más fina y eficiente. Este nivel está basado en procesadores.
- Un nivel inferior basado en relés y actuadores eléctricos y mecánicos que permiten el funcionamiento del sistema en caso de fallo del sistema de control. Este nivel no se basa en procesadores y, además, impide al sistema físico funcionar en condiciones no deseadas. Se construye principalmente con sistemas electromecánicos y de lógica cableada.
Es en este segundo nivel donde reside la confianza en la imposibilidad de que los equipos físicos sufran daños incluso en el caso de que un individuo u organización tomase el control del sistema. Sin embargo, hay dos hechos que cuestionan de forma seria este paradigma de seguridad:
- Últimamente he observado que en muchas instalaciones los enclavamientos de seguridad se implementan a través de lecturas de instrumentación digital, redes de comunicación y los PLC de la red de control. El objetivo es múltiple: por un lado ahorrar costes en cableado y dispositivos que se entienden como redundantes, y por otro, confiar en la mayor precisión y posibilidad de configuración de los sistemas digitales. Conozco algunos casos de fallos con importes que se miden en decenas y cientos de miles de euros a causa de esta práctica.
- Los enclavamientos y sistemas de protección se diseñan para evitar daños en caso de que se den circunstancias de operación fuera del espacio de condiciones de trabajo admisibles. Pero puesto que los sistemas físicos no se explican a base de 1 y 0 (hay decimales) siempre se debe contar con un margen de reserva para evitar que condiciones transitorias debidas a la operación normal del sistema (o los propios márgenes de error de la calibración de los relés) produzcan el disparo intempestivo de las protecciones: bandas muertas de regulación, histéresis, retardos, márgenes de seguridad, etc.
En este segundo caso es posible, en principio, diseñar un ataque que se aproveche de esas bandas de no actuación de las protecciones para imponer condiciones de trabajo que resulten en un daño sobre los sistemas físicos. ¿Muy complicado? ¿Especulaciones sin fundamento? Lamentablemente no. Existe al menos un caso documentado en el cual se empleó esta estrategia con resultados espectaculares: la vulnerabilidad Aurora.
Se trata de una experiencia llevada a cabo en el INL (Idaho National Laboratory) en el año 2007 y, hasta donde he podido comprobar, ha caído en el limbo existente entre los profesionales dedicados a los sistemas de control y aquellos que se dedican a la seguridad de sistemas TIC: a fin de cuentas, entender el mecanismo del ataque exige tener un pie (metafóricamente hablando) en cada mitad del campo, razón por la cual pasó inadvertido para unos y otros más allá de un vídeo difundido por la CNN que, posiblemente a causa de la espectacularidad del mismo, desencadenó la reacción típica de negación en aquellos que podrían resultar directamente afectados por la vulnerabilidad. De hecho se ha cuestionado intensamente la veracidad de lo mostrado en el vídeo, llegándose a proponer que se emplearon dispositivos pirotécnicos para aumentar el efecto visual. Podéis ver el vídeo al final de esta entrada.
¿En qué consiste esta vulnerabilidad? El enunciado es sencillo: causar daños en un generador de energía eléctrica instalado en un sistema con todas las protecciones habituales aprovechando las posibilidades de mando remoto del mismo. ¿El resultado? Un éxito posiblemente inesperado que provocó la destrucción completa de un grupo generador diésel de 400.000 dólares.
De forma muy sencilla, el mecanismo de ataque es el siguiente:
Todos los grupos de generación se protegen frente a la conexión a la red en condiciones de falta de sincronismo, esto es: que la forma de onda que está siendo generada esté desfasada respecto a la existente en la red a la que se va a conectar el generador. A este fin se supervisan tensiones, frecuencia y fase. ¿Por qué? Porque puesto que, en general, la red tendrá una potencia muy superior a la del propio generador, en caso de conexión en condiciones no adecuadas, ésta forzará la sincronización casi instantánea del mismo. Esto resultará en la imposición de un par mecánico extraordinario en el eje del generador, sobreesfuerzo para el que no está diseñado y que, en caso de producirse de forma repetida acabará produciendo el fallo del mismo. Para visualizarlo fácilmente imaginemos a alguien que quiere subir a un tren en marcha: el procedimiento indicado es correr junto al tren a una velocidad similar y entonces saltar al interior. La alternativa es esperar junto a la vía y agarrarse a las escalerillas cuando pasan junto a nosotros. Es fácil intuir que el tirón en nuestro brazo no es algo a lo que nos queramos exponer.
Sin embargo, la actuación del conjunto de protecciones posee holguras que evitan la desconexión prematura del generador en caso de pequeñas (y admisibles) desviaciones de los parámetros supervisados. Esto es, ofrece una ventana de oportunidad para forzar condiciones no deseadas en el generador sin que la protección desconecte el grupo de la red. Se puede consultar un análisis técnico detallado de las condiciones técnicas del ataque y posibles medidas de protección.
Es cierto que para realizar un ataque de este tipo con éxito se deben cumplir un buen número de condiciones: conocimiento del sistema, posibilidad de acceso remoto al mismo, ciertas condiciones de funcionamiento del sistema eléctrico, conocimiento de las protecciones existentes y su configuración… Éstos son los argumentos que serán esgrimidos durante la fase de negación. Pero esa no es la cuestión.
La cuestión es la siguiente: dado el grado de exposición de los sistemas de control industrial a ciberataques por diversas causas (cuestiones culturales y organizativas, cuestiones técnicas, etc.) en realidad a la receta sólo le falta el conocimiento de los sistemas físicos y sus sistemas de control. La vulnerabilidad Aurora es un caso muy específico. Pero debe ser suficiente para demostrar que la confianza en las protecciones físicas de los equipos tiene sus límites y de que sólo hace falta alguien dispuesto a descubrirlos. Confiar en ellas como nuestra única línea de defensa es un riesgo que nadie se debería permitir.
¿No?
El vídeo original de la vulnerabilidad Aurora pueden verlo a continuación:
Buenas tardes Óscar.
Un artículo realmente interesante. Muy didáctico el ejemplo del tren.
Enhorabuena.