Este año ha comenzado con algunos sobresaltos para todos aquellos con responsabilidad en la operación segura de redes eléctricas de potencia. Tenemos, por un lado, el suceso en la Israel Electric Authority. El 27 de enero nos encontramos con titulares como éste, de Fox News:
Aparentemente había llegado el día en que alguien había activado, al fin, el botón del juicio final y había reducido, o estaba en camino de conseguirlo, a Israel a la edad media. Sin embargo, la realidad resultó ser un poco más prosaica y los profetas del apocalipsis tuvieron que enfundar de nuevo sus teclados al constatarse que, en realidad, nos encontramos frente a un caso de ramsonware en equipos que formaban parte de una red típicamente TI que se infectaron por la poco elegante vía del phishing. Es más, según leo, la pérdida parcial de suministro de algunos clientes se pudo deber a la decisión deliberada del personal encargado de la operación del sistema que habría preferido actuar así, desconectando carga, antes de enfrentarse al colapso completo de la red. Más aún, se llega a afirmar que los operadores reaccionaron así ante el convencimiento de estar siendo atacados en un momento en el que la demanda estaba creciendo a un alto ritmo a causa de las bajas temperaturas.
¿Qué hay de cierto en todo ello? Por una parte, constato que en el mundo se espera con auténtica ansiedad el momento en que de verdad se produzca un ciberincidente que tenga por resultado el colapso de un sistema eléctrico nacional. Tanto es así, que la combinación de las palabras Israel + Electric + Authority + hacked desataron un aluvión de titulares incluso antes de confirmarse que, en realidad, nadie en el país se hubiese quedado sin suministro. Es una variación del viejo tema que tanto daño hace a los que nos dedicamos a esto y que ya denunciamos en el caso de Turquía (véase los artículos ‘The blackout (I) y (II) en este mismo blog), con la diferencia de que en aquel precedente lo único confirmado era la caída de una buena parte de la red de transporte.
Por otra parte, confirmo que, de nuevo, hay poco conocimiento acerca de la forma en que se puede producir un ataque con la intención de hacer retroceder a un país a un estado casi preindustrial. Y aquí es donde llega la siguiente noticia de este comienzo de año, que esta vez nos traslada a otro escenario de un conflicto: Ucrania.
A estas alturas todos sabemos que el 23 de diciembre de 2015 varias regiones de Ucrania se vieron afectadas por una pérdida de suministro eléctrico que duró varias horas (es difícil saber cuántas personas se vieron afectadas, las estimaciones van desde las decenas a los cientos de miles). Y también sabemos que, por primera vez, se ha confirmado que la causa de esto fue un ciberataque en toda regla contra los sistemas de operación de las redes de distribución.
Este sí parece ser el escenario apocalíptico que [Modo ironía: ON] todos estábamos esperando: un ataque sofisticado dirigido expresamente a dejar a una parte de la población sin energía eléctrica utilizando un conocimiento avanzado de los procesos industriales y sistemas de control y supervisión asociados. Y en parte es así. Muchas vendas se han caído en el sector eléctrico a la vista de la demostración de que algo así es técnicamente posible. Sin embargo, hay alguna precisión que hacer al respecto.
En primer lugar, el mecanismo elegido fue el de accionar, directamente, los interruptores de las líneas de distribución que suministraban energía a las poblaciones afectadas. Es el equivalente a apagar el interruptor de la luz de una habitación de mi casa. Y, del mismo modo, esa acción deja a oscuras una de las estancias de mi vivienda, pero no me impide seguir utilizando el resto. Es decir, se trata de un ataque de alcance limitado. Esta relativización tiene sentido en el contexto de guerra que vive Ucrania ya que, en cualquier caso, el daño causado a la imagen de las compañías es algo que no debería pasarse por alto (imaginemos el caso si hubiese sucedido en nuestro país). Por no hablar de la autoestima de los técnicos responsables del servicio. Por otra parte, el ataque en sí parece que fue muy elaborado incluyendo fases de spear phishing, reconocimiento mediante un troyano posiblemente BlackEnergy 2 (que abriría puertas traseras en los sistemas de las compañías) seguido de una infiltración mediante una variante de éste, BlackEnergy 3, y por último, búsqueda del camino hacia las estaciones de operador).
En segundo lugar, este mecanismo, aunque limitado, es el más sencillo posible e ilustra un principio fundamental a la hora de evaluar la ciberseguridad industrial: en la mayor parte de los casos, los propios sistemas y la forma en que estos se operan y mantienen proporcionan las herramientas que se pueden emplear para causar una disrupción de los procesos. Esto es algo que hemos constatado una y otra vez en las evaluaciones que realizamos en sistemas industriales. En este caso, los atacantes se limitaron a abrir los interruptores utilizando las interfaces del sistema, como haría cualquier operador. Esta fase se completó con una denegación de servicio para que los operadores no se percatasen de la situación y una campaña equivalente contra la centralita telefónica del servicio de notificación de averías para prolongar todo lo posible el corte de suministro.
En tercer lugar, lo peor aún no ha venido. El esperado (casi ansiado, diría, a la vista de los titulares) día del juicio final vendrá cuando se consiga generar una cascada de desconexiones de líneas y/o generadores en el nivel más alto del sistema eléctrico. Recordemos lo que dijimos en mayo a raíz del “incidente” turco (perdón por la autocita):
Atacar un sistema eléctrico nacional para provocar un cero de tensión no es trivial, a pesar de que en el imaginario colectivo del siglo XXI tales sistemas son la infraestructura crítica por excelencia y aparentemente constituyen el primer objetivo de cualquier terrorista. Podemos pensar en dos aproximaciones. La primera (…) consiste en desconectar una a una las infraestructuras que abastecen a todos los clientes: o abrimos interruptores en todas las líneas de transporte, o disparamos todos los grupos de las centrales de generación, o las desconectamos de la red abriendo los interruptores en las líneas de evacuación, o abrimos todos los interruptores de cabecera de las líneas de distribución. Esto supone un grado de infiltración del sistema eléctrico de un país absolutamente total, requiriendo, además, tener capacidad de control y mando para coordinar todas las actuaciones simultáneamente (en realidad no hace falta llegar al 100% de infiltración, ya que eventualmente se inducirá un desequilibrio tal en el sistema que el efecto dominó facilitará el trabajo). Pero en este universo los recursos siempre son escasos y esta aproximación requiere un esfuerzo ingente. Tenemos a nuestra disposición, no obstante, otro camino. Ahora que sabemos cómo funciona un sistema eléctrico parece obvio que una vía mucho más adecuada pasa por provocar incidencias en puntos sabiamente elegidos que con el mínimo esfuerzo provoquen una inestabilidad que acabe en un efecto dominó.
Como vemos, el caso de Ucrania se corresponde con el primer escenario, pero el que hemos de temer es el segundo. Sin dejarnos arrastrar por el alarmismo, es de esperar que la ‘prueba de concepto’ de Ucrania (con perdón de los afectados) sirva para prepararnos para lo peor. Entre tanto, no hablemos más de la cuenta. Ejemplos como el de las noticias del caso de Israel no ayudan nada a crear el nivel de concienciación necesario en los responsables de estas infraestructuras.