Infraestructuras SCADA atacadas y controladas remotamente

El equipo de investigación de NIVEL4 ha descubierto que dispositivos utilizados en infraestructuras de control industrial son parte de una botnet controlada principalmente desde China. Los dispositivos de control industrial, conocidos con su sigla en inglés ICS (Industrial Control Systems), se utilizan desde hace muchos años y son un gran apoyo a la operación de […]

El equipo de investigación de NIVEL4 ha descubierto que dispositivos utilizados en infraestructuras de control industrial son parte de una botnet controlada principalmente desde China.

Los dispositivos de control industrial, conocidos con su sigla en inglés ICS (Industrial Control Systems), se utilizan desde hace muchos años y son un gran apoyo a la operación de empresas de tratamiento de alimentos, gas, agua potable, electricidad, mineras, etc. Por lo general estos componentes son dispositivos operados mediante PLC, sin embargo, desde hace varios años estos estan comenzando a ser operados por plataformas un poco mas inteligentes y sofisticados, con el fin de cubrir una gran infraestructura a un menor costo y mejor productividad. A esto le llaman Supervisory Control and Data Acquisition o más conocido como SCADA.

Imagen referencial

Entonces, imaginemos que existe una empresa que fabrica y procesa alimentos la cual cuenta con distintas plantas de tratamiento a lo largo del país. Cada planta tiene diversos dispositivos que ayudan a la operación y conforman una gran infraestructura con sistemas de control industrial. La forma más óptima de monitorear y operar esta infraestructura es centralizarla mediante una infraestructura SCADA, por lo tanto toda la infraestructura -de todas las ciudades- deben estar conectadas entre si y enviar información a un centro de control. Para conectar toda la infraestructura de la planta de una ciudad se puede usar una red interna y posteriormente enviar toda la información al centro de operaciones.

Entendiendo este ejemplo, ¿cómo podrían las plantas, ubicadas a lo largo de todo el país, enviar información al centro de operaciones?

Centro de Operaciones – Foto Referencial

Desde el punto de vista de redes y telecomunicaciones podrían existir dos soluciones, una red interna por ejemplo mediante un enlace de fibra punto a punto, MPLS u otra forma, pero no es viable si no hay factiblidad técnica en el lugar donde se encuentra la planta de tratamiento. La respuesta que queda es “mediante internet“. Suena sencillo, pero existen distintas formas de enviar la información desde internet. Se puede realizar mediante una VPN o bien punto a punto.

La verdad es que en la mayoría de los casos se utiliza internet para operar y transmitir la información relacionada a la infraestructura.

Son muchos los beneficios que se obtienen al conectar redes industriales a internet y esta tendencia va en aumento. Sin embargo, los riesgos a los que nos exponemos al diseñar estas redes sin las medidas de seguridad adecuadas pueden poner en riesgo la seguridad de la propia infraestructura como tambien de una ciudad o país completo.

Por este motivo, este tipo de infraestructuras expuestas a internet, fue el objetivo de una investigación realizada por NIVEL4 Cybersecurity, en la cual se descubrió que existen componentes utilizados en infraestructura ICS/SCADA que son parte de una botnet controlada por distintos países.

Los datos interesantes que mostró esta investigación son:

• La primera infección que se detectó fue el año 2016 y ahora continúan siendo parte de esta botnet y controlados de forma remota. Sin embargo, tenemos sospechas que las infecciones son de mucho antes.
• Se encontraron cerca de 5000 conexiones remotas desde orígenes maliciosos.
• Las 5000 conexiones detectadas estaban activas al momento de realizar la investigación.
• Principalmente, los dispositivos están siendo controlados desde China, Rusia, Estados Unidos, Vietnam y Brasil.
• Los países más afectados son Estados Unidos, Chile, Francia y Hungría.

Además del punto de vista técnico, analizamos la parte legal en conjunto con el asesor en Políticas Públicas y Regulatorias Pedro Huichalaf, quien nos afirmó que la actual tendencia [en ciberseguridad] contiene una mirada amplia del ecosistema digital y no tan sólo puntual o particular: ”Así como las empresas no están aisladas, sino que interactúan con otras, una correcta identificación de riesgos, de preparación y protección en materia de ciberseguridad debe considerar posibles ataques, accesos no autorizados, infiltraciones y otras vulnerabilidades de redes directamente conectadas desde fuentes previamente autorizadas”.

El detalle de la investigación será entregado a las autoridades correspondientes y se notificará a los afectados, con el fin de colaborar en las mejoras de seguridad que se requieran.