Apenas 18 horas después de que el investigador de seguridad informática Kyle Wilhoit conectara dos sistemas de control industrial falsos y uno auténtico a Internet, alguien empezó a atacar uno de ellos y muy poco después las cosas empeoraron aún más. A lo largo del experimento, llevado a cabo en el mes de diciembre de 2012, se montaron toda una serie de sofisticados ataques sobre los cebos (honeypots, en inglés) que Wilhoit había colocado para descubrir con qué frecuencia atacan los hackers maliciosos infraestructuras industriales.

Los hallazgos de Wilhoit son la mejor prueba hasta la fecha de que hay gente dedicada activamente a buscar e intentar controlar sin autorización los sistemas industriales como los que se usan para controlarlo todo, desde las plantas eléctricas hasta los sistemas de aire acondicionado de las oficinas. En los últimos años, los políticos estadounidenses han hablado de las vulnerabilidades de estos sistemas, y los investigadores las han puesto al descubierto, y se sabe que hay miles de ellos conectados a Internet con controles muy laxos o inexistentes contra el acceso sin autorización (ver "Qué pasó cuando un solo hombre puso a prueba todo Internet").

"Todo el mundo habla sobre los ataques a los sistemas de control industrial, pero nadie tiene datos que los respalden", afirma Wilhoit, quien trabaja para la empresa de seguridad informática Trend Micro. "Sé con certeza que mis cebos ICS han sido 'apropiadas', y creo que hay una probabilidad razonable de que suceda lo mismo en otras circunstancias sin vigilancia".

El año pasado, el entonces secretario de Defensa de Estados Unidos, Leon Panetta, avisó de que se habían llevado a cabo ataques con éxito sobre los sistemas de control de plantas eléctricas, instalaciones de agua y sistemas de transporte. Pero desde entonces se han revelado muy pocos datos sobre estos incidentes. Un boletín informativo de marzo del Equipo de Respuesta de Ciberemergencia de Sistemas de Control Industrial del departamento de Seguridad Nacional contiene una de las pocas revelaciones públicas sobre dicho ataque, explicando que los sistemas de gestión de energía de una fábrica y de un edificio gubernamental en el estado de Nueva Jersey se vieron comprometidos en 2012.

El trabajo de Wilhoit sugiere que eso puede ser solo la punto del iceberg. Usó tres cebos distintos, cada uno de los cuales se diseñó cuidadosamente para que el atacante creyera que había descubierto un ordenador con la capacidad de controlar las características físicas de un sistema industrial. Una de las trampas falsas ofrecía páginas Web de administración para una bomba de agua real; otra era un servidor físico en el que se instaló el software que se suele usar para controlar equipos industriales físicos; y por último Wilhoit compró una pieza de hardware que se usa para conectar un ordenador para que controle equipos industriales, y lo instaló en su sótano para que pareciera que controlaba el sistema de aire acondicionado e iluminación de una fábrica.

Hubo un total de 39 ataques sobre los cebos de Wilhoit, algunos de los cuales implicaban modificar las características físicas del sistema que supuestamente controlaban. Los ataques parecían provenir de ordenadores en toda una serie de países, un 35 por ciento de China, un 19 por ciento de Estados Unidos y un 12 por ciento de Laos. Los atacantes solían usar primero herramientas automatizadas que buscan sistemas industriales en Internet antes de investigar en mayor profundidad.

Los ataques más sorprendentes explotaban fallos de los sistemas para cambiar las preferencias de los sistemas industriales imaginarios de Wilhoit. "Hacían cosas que cambiaban la presión del agua, o la temperatura, o detenían el flujo de la bomba", explica Wilhoit. "Si eso le está pasando a un cebo, ¿qué está pasando con los dispositivos reales que no están protegidos? Queda claro que hay cierto grado de pericia ahí afuera".

Como los ataques hacían uso de técnicas específicas para los sistemas de control industrial, Wilhoit cree que los llevaron a cabo personas con la intención de encontrar y estropear dichos sistemas. Algunos de los ataques pasaban por enviar correos electrónicos al correo de administrador que había dado. Los adjuntos a esos mensajes ocultaban software malicioso desconocido anteriormente que Trend Micro está investigando en la actualidad. "No puedo dar todos los detalles", afirma" "pero los hallazgos son sustanciales".

Wilhoit sí cuenta que el malware que recibió parecía diseñado para hacerse con el control de un controlador que se usa frecuentemente en los sistemas de control industrial. Ahora Wilhoit y sus compañeros en Trend Micro han colocado más cebos, en localizaciones en todo el mundo, para registrar el panorama global de esta actividad. También están trabajando en nuevas estrategias que podrían servir para defender dichos sistemas.

Existen muchas contramedidas aparentemente sencillas para proteger los sistemas industriales, pero no se usan por sistema, explica Billy Rios, investigador de seguridad que trabaja en sistemas de control industriales en la start-up de seguridad Cylance, y que ha revelado cientos de fallos en sistemas industriales comunes. Retirar esos sistemas de la parte de Internet que es accesible públicamente es la medida de defensa más crucial, explica Rios. Sin embargo, se puede llegar incluso a los sistemas que solo son accesibles mediante una conexión privada mediante ataques a los empleados de la empresa para conseguir sus contraseñas, y una vez que un atacante logra el acceso a un sistema industrial suele haber muchos fallos de seguridad que pueden explotar. "La seguridad de la industria es, en términos generales, bastante pobre", afirma Rios.

Joel Young, director de tecnología de Digi International, que vende el hardware que se usa para conectar los sistemas de control industrial a Internet, afirma que las empresas a las que vende sus productos normalmente piensan que la fiabilidad y privacidad son más importantes que la seguridad. Los sistemas domésticos de gestión energética y los contadores inteligentes, por ejemplo, se han diseñado cuidadosamente con características que pretenden preservar la privacidad debido a la preocupación pública por que puedan filtrar datos sobre consumo energético. "Pero si lo que estás es colocando un servidor para vigilar una subestación, no hay seguridad de ningún tipo", afirma. "Se dicen: ¿quién querría hackear esto?".

Rios sostiene que las empresas que fabrican sistemas de control industrial han empezado a prestar más atención a las cuestiones de seguridad, pero se siguen encontrando fallos en los productos nuevos y en muchos de los productos anteriores que aún están en uso. "Estos aparatos tienen un ciclo de vida de unos 20 a 30 años".