En Estados Unidos, el senador por el estado de Massachusetts Edward Markey presentó ayer una carta dirigida a cinco agencias federales, pidiéndoles información y explicaciones sobre el escenario actual de ciberataques a instalaciones nucleares.
Según comenta CNET, el texto exige saber cómo está defendiendo el país a sus plantas nucleares, cuántas fueron atacadas, quién coordina su seguridad y cómo se podría mejorar. Markey pidió que se le respondiera para el 10 de agosto y dedicó la carta al Departamento de Defensa, al Departamento de Energía, al Departamento de Seguridad Nacional, al FBI y a la Comisión Reguladora Nuclear.
El pedido surgió luego de que el FBI y el Departamento de Seguridad Nacional reportaran que las instalaciones nucleares de los Estados Unidos han sido blanco de cibercriminales al menos desde mayo de este año, y que la frecuencia e intensidad de los ataques se ha incrementado en los últimos dos meses.
Esta observación no nos sorprende si miramos al contexto internacional: en junio, ESET publicó su investigación sobre Industroyer, la mayor amenaza a sistemas de control industrial desde Stuxnet. Es un malware capaz de dejar sin suministro eléctrico a una población que podría ser modificado para dirigirse a otros tipos de infraestructura crítica. Además, ya habíamos identificado a este tema como una preocupación a nivel global en nuestro informe de Tendencias 2017, cuando anticipamos que los cibercriminales seguirían sondenado la infraestructura crítica a través de la infraestructura de Internet, buscando formas de perpetrar ataques disruptivos.
Ahora se sabe que hubo otras instalaciones críticas que fueron blanco de ciberataques. Por ejemplo, Wolf Creek Nuclear Operating Corporation, la cual maneja una planta en Kansas, según había indicado el FBI.
A la precupación por parte del ámbito político, que expresó la carta de Edward Markey, se suma la preocupación de otras partes involucradas. Por ejemplo, el experto en ciberseguridad Sandro Gaycken, que colabora en un proyecto de la OTAN, dijo que los gobiernos alrededor del mundo no logran proteger adecuadamente sus instalaciones nucleares, lo cual podría derivar en una "guerra nuclear accidental".
El director del proyecto SPS (Science for Peace and Security) de la OTAN dijo, según IBTimes: "Un ciberataque podría ocasionar que las computadoras colapsen y activen armas nucleares de manera inadvertida". O, en otro escenario, "las computadoras infectadas no se apagan, pero reaccionan de manera impredecible".
Gaycken remarcó que muchos sistemas de este tipo tienen estructuras y configuraciones muy similares, por lo que una amenaza podría afectar a varios al mismo tiempo en distintos países. Es, en cierta forma, lo que anticipábamos respecto a amenazas como Industroyer que son altamente personalizables.
El problema de base es que estos sistemas fueron desarrollados hace décadas, sin pensar en la seguridad, porque en ese entonces no se suponía que fuesen a conectarse a internet.
Entonces, ante tantas preocupaciones y advertencias, ¿qué se podría hacer?
Lo principal sería lograr el consenso de todas las partes involucradas; no bastan los hallazgos de los investigadores y expertos en cibseguridad si los gobiernos y las autoridades federales no instrumentan programas de defensa adecuados.
Una opción que se ha estado discutiendo en febrero de este año fue la creación de un "Convenio de Ginebra digital", es decir, una versión digital de las convenciones y protocolos acordados entre 1864 y 1959 para proteger a las víctimas de los conflictos armados. La propuesta fue principalmente impulsada por el presidente de Microsoft, Brad Smith, quien aseguró:
Así como el Cuarto Convenio de Ginebra ha protegido a civiles en tiempos de guerra, necesitamos ahora una Convención de Ginebra Digital que comprometerá a los gobiernos a proteger civiles de ataques de estados-nación en tiempos de paz. Y así como el Cuarto Convenio de Ginebra reconoció que la protección de civiles requería la participación activa de la Cruz Roja, la protección contra ciberataques de estados-nación requiere la asistencia activa de compañías de tecnología.
El sector tecnológico desempeña un papel único como los primeros en responder en internet, por lo que debemos comprometernos con acciones colectivas que harán de internet un lugar más seguro, afirmando un papel como una Suiza digital neutral que asiste a clientes en todas partes y conserva la confianza del mundo.
Todo parece indicar que los cibercriminales están probando el alcance de sus ataques y que la ofensiva no se detendrá, por lo que, como decía el investigador de ESET Robert Lipovsky, este es un llamado de atención a todos los responsables por la seguridad de sistemas de control industrial e infraestructuras críticas en todo el mundo.