Muchos han sido los que, desde 2010, han buscado un sucesor de Stuxnet, o sea, un ciberataque que supusiera un daño físico en alguna empresa o infraestructura de las consideradas como críticas. Pues bien, si nos fijamos en la información que proporciona el informe anual de la Oficina Federal Alemana para la Seguridad de la Información (BSI, por sus siglas en alemán) parece que ya se ha encontrado otro caso.
Objetivo: un empresa metalúrgica
El informe tampoco entra en los pormenores de este ataque pero sí que aporta datos interesantes acerca de su objetivo, técnicas usadas por los atacantes y daños provocados. La víctima en esta ocasión fue una empresa metalúrgica, sobre la que utilizaron un ataque dirigido a base de Ingeniería Social y mensajes supuestamente remitidos desde el interior de la planta para ganarse la confianza de los operarios y, seguidamente, conseguir el acceso a las redes de sus oficinas.
A partir de ese momento los atacantes consiguieron acceder a las redes de producción, alterando parámetros de algunos de los sistemas críticos de la empresa. Debido a esta intrusión, uno de los hornos industriales no pudo ser apagado de forma controlada y terminó causando un “daño masivo a la planta”, según se comenta en el informe.
Ataque ¿avanzado?
El informe también define las técnicas utilizadas por los atacantes como "muy avanzadas", ya que se consiguió vulnerar la seguridad de varios sistemas internos de componentes industriales (SCADA), algo que supuestamente representa un profundo conocimiento de estos y del proceso de producción de esta empresa.
No es por desmerecer este informe, pero sin conocer a ciencia cierta ni los sistemas utilizados en la empresa atacada ni los correos utilizados para conseguir engañar a los empleados y así obtener acceso a la red interna de la empresa, se podría poner fácilmente en duda lo avanzado de este ataque.
Analizando casos recientes como el ransomware con el falso remitente de correos vemos que aún falta mucha concienciación en seguridad en empresas y administraciones públicas. Tan solo es necesario suplantar mediante técnicas de spoofing al alcance de cualquiera un correo genérico con dominio de la empresa (administración@nombredelaempresa.com, por poner un ejemplo) para conseguir que un empleado abra ese correo y pulse sobre el enlace o fichero adjunto malicioso.
Identificando y atacando sistemas SCADA
Una vez dentro de la red corporativa, el resto ya depende de los atacantes. Si estos se hubieran limitado a robar información o simplemente a infectar los equipos de la empresa para incorporarlos a una botnet, seguramente no estaríamos hablando de esta noticia.
Pero no, al parecer bien por error o intencionadamente se consiguió alterar el correcto funcionamiento de uno de los hornos, causándole graves daños, y por eso esta noticia ha saltado a los medios en lugar de quedar como anécdota en un informe. Si se ha de llamar avanzado a este ataque, esta sería la única razón, puesto que para conseguir inutilizar uno de estos hornos primero se debe identificar su modelo, el software utilizado para controlarlo (y sus posibles vulnerabilidades o puertas traseras) y conseguir el acceso a este.
Esto nos remite nuevamente a la idea de que la seguridad física en empresas es una parte integral de la seguridad de la información.
¿Estamos ante un nuevo Stuxnet?
Decididamente, no. Stuxnet fue una amenaza diseñada durante años que utilizaba varios 0-day para conseguir su objetivo de infectar los sistemas de una planta de enriquecimiento de uranio cuyos sistemas no tenían conexión a Internet. En esta ocasión estamos ante una infección de sistemas de forma más o menos convencional que ha tenido una consecuencia que se sale de lo habitual.
Recordemos que por los datos que tenemos hasta ahora no podemos afirmar que la inutilización del horno fuera el objetivo final de los atacantes, o si simplemente fue un daño colateral.
Es por eso que este tipo de noticias han de ser tomadas con mucho cuidado y tratarlas como lo que son, una intrusión no autorizada en una red corporativa, y hemos de aprender de estos sucesos. Si queremos evitar que alguien consiga acceder a la red interna de una empresa usando técnicas como la descrita en este caso, lo primero que se debe hacer es formar a los empleados y responsables de proteger esa red y, a partir de ese punto, ir añadiendo capas de seguridad y realizar audiorías periódicas que nos ayuden a detectar posibles puertas de entrada para los atacantes y vulnerabilidades.