El equipo de investigación de NIVEL4 ha descubierto que dispositivos utilizados en infraestructuras de control industrial son parte de una botnet controlada principalmente desde China. Los dispositivos de control industrial, conocidos con su sigla en inglés ICS (Industrial Control Systems), se utilizan desde hace muchos años y son un gran apoyo a la operación de […]
El equipo de investigación de NIVEL4 ha descubierto que dispositivos utilizados en infraestructuras de control industrial son parte de una botnet controlada principalmente desde China.
Los dispositivos de control industrial, conocidos con su sigla en inglés ICS (Industrial Control Systems), se utilizan desde hace muchos años y son un gran apoyo a la operación de empresas de tratamiento de alimentos, gas, agua potable, electricidad, mineras, etc. Por lo general estos componentes son dispositivos operados mediante PLC, sin embargo, desde hace varios años estos estan comenzando a ser operados por plataformas un poco mas inteligentes y sofisticados, con el fin de cubrir una gran infraestructura a un menor costo y mejor productividad. A esto le llaman Supervisory Control and Data Acquisition o más conocido como SCADA.
Entonces, imaginemos que existe una empresa que fabrica y procesa alimentos la cual cuenta con distintas plantas de tratamiento a lo largo del país. Cada planta tiene diversos dispositivos que ayudan a la operación y conforman una gran infraestructura con sistemas de control industrial. La forma más óptima de monitorear y operar esta infraestructura es centralizarla mediante una infraestructura SCADA, por lo tanto toda la infraestructura -de todas las ciudades- deben estar conectadas entre si y enviar información a un centro de control. Para conectar toda la infraestructura de la planta de una ciudad se puede usar una red interna y posteriormente enviar toda la información al centro de operaciones.
Entendiendo este ejemplo, ¿cómo podrían las plantas, ubicadas a lo largo de todo el país, enviar información al centro de operaciones?
Desde el punto de vista de redes y telecomunicaciones podrían existir dos soluciones, una red interna por ejemplo mediante un enlace de fibra punto a punto, MPLS u otra forma, pero no es viable si no hay factiblidad técnica en el lugar donde se encuentra la planta de tratamiento. La respuesta que queda es “mediante internet“. Suena sencillo, pero existen distintas formas de enviar la información desde internet. Se puede realizar mediante una VPN o bien punto a punto.
La verdad es que en la mayoría de los casos se utiliza internet para operar y transmitir la información relacionada a la infraestructura.
Son muchos los beneficios que se obtienen al conectar redes industriales a internet y esta tendencia va en aumento. Sin embargo, los riesgos a los que nos exponemos al diseñar estas redes sin las medidas de seguridad adecuadas pueden poner en riesgo la seguridad de la propia infraestructura como tambien de una ciudad o país completo.
Por este motivo, este tipo de infraestructuras expuestas a internet, fue el objetivo de una investigación realizada por NIVEL4 Cybersecurity, en la cual se descubrió que existen componentes utilizados en infraestructura ICS/SCADA que son parte de una botnet controlada por distintos países.
Los datos interesantes que mostró esta investigación son:
Además del punto de vista técnico, analizamos la parte legal en conjunto con el asesor en Políticas Públicas y Regulatorias Pedro Huichalaf, quien nos afirmó que la actual tendencia [en ciberseguridad] contiene una mirada amplia del ecosistema digital y no tan sólo puntual o particular: ”Así como las empresas no están aisladas, sino que interactúan con otras, una correcta identificación de riesgos, de preparación y protección en materia de ciberseguridad debe considerar posibles ataques, accesos no autorizados, infiltraciones y otras vulnerabilidades de redes directamente conectadas desde fuentes previamente autorizadas”.
El detalle de la investigación será entregado a las autoridades correspondientes y se notificará a los afectados, con el fin de colaborar en las mejoras de seguridad que se requieran.
Durante el 8 y 9 de septiembre se realizó la quinta edición de la conferencia de ciberseguridad y hacking más importante de Colombia, la DragonJARCon 2018. El equipo de NIVEL4 estuvo presente en el encuentro.