Algunas lecciones ¿aprendidas? de Stuxnet

Suele decirse que la ignorancia es la felicidad. Del mismo modo, se acepta de forma universal la máxima contrapuesta que dice que el conocimiento es poder. Eventualmente todos hemos de situarnos en algún punto intermedio entre ambos extremos para no perder la estabilidad mental a causa de la ansiedad o sufrir un perjuicio grave a causa de una actitud excesivamente despreocupada. Sin embargo, cuando se trata de ciberseguridad de un sistema de control industrial disponer de conocimiento es algo crítico. En mi opinión, el desconocimiento de los procesos industriales por parte del lado oscuro es el dedo que tapona el agujero en el dique impidiendo que las aguas del mar invadan el terreno que éste protege. Pero, al igual que en la leyenda holandesa, no puede confiarse en que este remedio nos mantenga a salvo indefinidamente.

Es sorprendente cuan arraigado está entre muchos responsables de infraestructuras industriales el mito de la defensa por oscuridad. Este planteamiento, que puede entenderse en técnicos que no han tenido ocasión de recibir información acerca de estas cuestiones, es absolutamente inaceptable una vez que se reciben las primeras alertas acerca de la naturaleza de la amenaza. Todavía está muy extendida la idea de que el niño resistirá indefinidamente taponando el dique con su pequeño dedo.

El conocimiento de los procesos industriales y Stuxnet

Mucho se ha hablado ya de Stuxnet. Su refinamiento ha sido, con razón, causa de asombro generalizado en todo el mundo. Sin embargo, y desde mi desconocimiento de los detalles de ingeniería informática implicados, lo que en mi opinión marca un antes y un después de Stuxnet no es que sea el primer malware identificado diseñado específicamente para atacar un sistema de control industrial, sino el grado de conocimiento de los procesos físicos que lo hace posible.

Stuxnet fue diseñado atacar directamente al proceso de obtención de uranio enriquecido, material empleado como combustible en las centrales nucleares y en la construcción de armas nucleares. El uranio se presenta en la naturaleza como una combinación de dos isótopos, el 235U (más ligero) y el 238U (más pesado). La concentración de 235U es inferior al 1% y para su uso con fines militares es necesario enriquecer la mezcla por encima del 90% (frente al 20% requerido para usos energéticos). Esta tarea se lleva a cabo mediante centrifugadoras, que hacen girar a gran velocidad el uranio en estado gaseoso. En razón de su diferencia de peso el isótopo más pesado experimenta una mayor aceleración centrífuga y se desplaza hacia la periferia del cilindro rotatorio, mientras que la fracción ligera (la útil) queda en las inmediaciones del eje de giro. El gas recogido se procesa secuencialmente en varias centrifugadoras hasta alcanzar el nivel de pureza deseado. Se trata de un proceso muy lento, ya que la diferencia de peso entre ambos isótopos es muy pequeña (en razón de 3 unidades de peso atómico sobre 238), por lo que para alcanzar la masa necesaria para la construcción de un artefacto se requiere mucho tiempo (o mucha inversión para disponer de un gran número de centrifugadoras). Para hacer girar una centrifugadora a la velocidad requerida se emplean variadores de frecuencia como accionamiento de los motores eléctricos.

Una vez conocido el proceso físico los diseñadores de Stuxnet particularizaron su ataque seleccionando adecuadamente el blanco: sistemas de control de SIEMENS (PLC Simatic y SCADA WinCC) que supervisasen una planta en la cual existiesen variadores de frecuencia de marcas concretas (Vacon, finlandesa, y Fararo Paya, iraní) en un número superior a 33 unidades. Más específicamente, se requiere que las consignas de frecuencia de los variadores se encuentren entre 807 Hz y 1.210 Hz, frecuencias empleadas en este proceso.

Una vez seleccionado el blanco, ahora viene mi parte preferida: la elección del mecanismo de ataque. En este caso los creadores de Stuxnet fueron igual de meticulosos que en el resto de detalles. Una vez conseguido el control del sistema, se altera el buen progreso del proceso modificando el régimen de funcionamiento de las centrifugadoras haciendo que la frecuencia (es decir, la velocidad de giro) aumente a 1.410 Hz (por encima del valor máximo de operación normal), luego baje drásticamente a un valor tan pequeño como 2 Hz (casi parada, aunque el valor de velocidad final depende de otros factores), y luego acelere de nuevo a 1.064 Hz antes de regresar a la secuencia normal de operación. Esta operación se repite en ciclos predeterminados que implican, por ejemplo, funcionar 27 días a 1.410 Hz, una buena sacudida bajando a 2 Hz y volviendo a 1.064 Hz (resultando en un buen batido de uranio) durante otros 27 días y así, un ciclo tras otro. Esta mecánica no afecta a todas las centrifugadoras de cada grupo, sino sólo a algunas, imagino que para hacer más difícil la detección del funcionamiento anómalo. El objetivo no es sólo alterar el proceso. El objetivo no es destruir el equipo, borrar el programa o cualquier otra acción aparentemente definitiva pero, en la práctica, fácil de resolver. Estas acciones hubiesen puesto en alerta al operador y su efecto hubiese sido mucho menor. Es mucho más efectivo, sin duda, el mecanismo elegido: producir uranio por debajo de especificaciones de forma constante durante meses sin ninguna causa aparente, algo mucho más difícil de corregir y, por tanto, más dañino. El diseño incluía otras medidas destinadas a borrar su rastro, como no dejar registro de este funcionamiento anómalo en los históricos de variables o alarmas y mecanismos de reinfección de los PLC afectados en caso de que se reinstalase el programa de control original.

¿Qué lecciones podemos extraer de este caso?

Hay mucho provecho que sacar más allá del susto inicial experimentado por aquellos responsables y técnicos que, hasta ese momento, se sentían seguros (si es que alguna vez habían considerado la cuestión). Es útil hacer algunas reflexiones.

Gran parte del escepticismo (auténtico o impostado) de muchos responsables de sistemas de control industrial se basa en su falta de entendimiento de los mecanismos de ataque o de las motivaciones de los atacantes. Para muchos un ciberataque es el equivalente digital de un bombardeo masivo, algo para lo que no encuentran razones (para qué querría hacerme alguien eso a mí). Sin embargo, lo que nos enseña el caso Stuxnet es que es posible, a partir del conocimiento del proceso industrial, causar un daño mucho mayor y más difícil de corregir: vertidos de agua residual que no cumplen la Directiva; un incremento de producto fuera de especificaciones con el coste económico y de imagen ya que puede llevar asociado incumplimiento de plazos o, peor aún, que el producto defectuoso se sirva a clientes sin haber sido detectado en nuestra planta (a fin de cuentas, los muestreos estadísticos de calidad se diseñan conforme a la variabilidad ‘natural’ de nuestro proceso, no de un proceso alterado, por lo que el tamaño de los lotes o la frecuencia podrían ser inadecuados para descubrir la situación). O facturación errónea a causa de alteración en las lecturas de equipos de medida (evidentemente al alza, para desacreditar a la víctima ante su cliente). Y encima, los históricos del sistema nos dicen que todo está marchando bien. Vamos, para volverse locos. Además, seamos sinceros, ¿cuánto tiempo transcurrirá hasta que pase por nuestra cabeza la idea de que quizá nuestro sistema de control ha sufrido un ciberataque? A fin de cuentas, no es un riesgo con el que hayamos contado nunca…

Podría pensarse que este tipo de ataques no se va a dirigir específicamente contra nosotros, que tenemos muchos amigos y no nos metemos con nadie. Pero en un mercado global donde los procesos y maquinaria están cada vez más estandarizados, ¿quién puede asegurar que uno no va ser atacado por un malware dirigido contra un tercero que da la casualidad de compartir equipos o métodos con nosotros? Por ejemplo, las máquinas centrífugas empleadas originalmente en la producción de aceite de oliva han encontrado un ámbito de aplicación nuevo en la deshidratación de fangos de plantas de tratamiento de agua residual o potabilización.

También es habitual escuchar argumentos como que ‘nuestro sistema no está conectado a internet’. Aparte del saludable escepticismo con el que deben acogerse este tipo de afirmaciones hay que recordar que Stuxnet estaba diseñado para poder propagarse, si tenía ocasión, a través del uso de dispositivos portátiles, como memorias USB o el PC empleado para programar los PLC.

Lo que todo ingeniero sabe

Hasta hace un tiempo la información necesaria para diseñar un proceso industrial se basaba en papel y los mecanismos de acceso a la misma eran muy limitados: adquisición de libros, catálogos proporcionados por proveedores en visitas personales, documentación obtenida en cursos específicos: fotocopias, fotocopias, fotocopias. Internet ha cambiado todo eso. Hoy en día disponemos de una cornucopia de documentación altamente detallada y específica desde nuestro PC de trabajo. Recuerdo los tiempos en los que todo ingeniero almacenaba grandes cantidades de información en distintos soportes en los que residía su conocimiento y capacidad de diseño (y su pérdida era un riesgo que no se podría permitir). Hoy en día eso ya no es necesario, internet es el gran archivo: pdf, pdf, pdf.

Es asombrosa la cantidad de cosas que se puede saber acerca del proceso y equipos de una empresa en concreto haciendo una búsqueda bien orientada. Más allá de la documentación técnica en formas de catálogos o fichas técnicas, los proveedores suelen describir sus referencias y casos de éxito, en ocasiones con todo lujo de detalle, en múltiples lugares: sus sitios de internet, en publicaciones del sector en el que trabajan, en jornadas, ferias y congresos. Las propias empresas publican en ocasiones artículos acerca de desarrollos punteros (o simplemente de los que están orgullosos). Las empresas constructoras y sus subcontratas hacen lo propio. En el caso de infraestructuras, la propia Administración pone a disposición de quien sepa encontrarla información en la forma de Pliegos donde se describe con todo lujo de detalle la infraestructura objeto de licitación. Incluso los mismos proyectos de construcción (trámite de información pública) están a disposición de cualquier ciudadano que quiera consultarlos. También hay proyectos de fin de carrera y tesis doctorales, algunas  auspiciadas por empresas catalogadas como operadores críticos: yo mismo he encontrado documentos académicos describiendo los protocolos y redes de comunicación y sistemas de control de subestaciones eléctricas de empresas con nombre y apellidos. Tarde o temprano esta información acaba convertida en un pdf y subida a internet, naturalmente sin intención maliciosa.

A la vista de todo esto: ¿de verdad quiere basar su ciberseguridad en la idea de que nadie conoce su proceso industrial?

Nota. La información específica acerca de Stuxnet y su funcionamiento se ha extraído del informe publicado por Symantec (autores Nicolas Falliere, Liam O’Murchu, y Eric Chien) y puede consultarse aquí.

Comments

  1. José Rosell says

    Muy ilustrativo

  2. Fernando Seco says

    Brillante, Óscar.

  3. Muy buen artículo.

    Los tiempo cambian y, o cambias de mentalidad…o te atropellan :(

  4. Muy buena la entrada!

  5. Hoy en día las empresas demandan soluciones que protejan sus activos de información,tanto dentro de sus sistemas como con terceros,y entonces tenemos los certificados corporativos, encriptacion de datos o firma electrónica que ayudan a las empresas a conseguir una gestión segura de la información.Valga decir que esto tambien demanda un costo,pero necesario por la prevención y seguridad industrial.

Trackbacks

  1. […] Suele decirse que la ignorancia es la felicidad. Del mismo modo, se acepta de forma universal la máxima contrapuesta que dice que el conocimiento es poder.  […]

  2. […] Continuar Leyendo. Tags:  Stuxnet […]

  3. […] Suele decirse que la ignorancia es la felicidad. Del mismo modo, se acepta de forma universal la máxima contrapuesta que dice que el conocimiento es poder. Eventualmente todos hemos de situarnos en…  […]