Noticias

23

Teniente Coronel del Ejército de Brasil André FERREIRA ALVES MACHADO

                             Capitan EP Lizet CACHO DE LA CRUZ LIZET

RESUMEN

En las sociedades modernas existen sectores claves que se respaldan en una amplia gama de sistemas y recursos informáticos para su funcionamiento continuo, confiable y efectivo. Estos sectores son conocidos como Infraestructuras críticas. La protección de estas se ha transformado en los últimos años en un centro de atención y debate en los principales países del mundo, motivando a los Estados a generar acciones para garantizar su seguridad. Al mismo tiempo, estas infraestructuras son mayormente operadas por entidades ajenas al gobierno (privadas). Por otro lado, los cambios permanentes de las tecnologías hace necesario no solo un profundo trabajo de articulación entre diversos actores sino la evaluación constante de distintos escenarios de compromiso, así como la adopción de medidas preventivas y correctivas para minimizar cualquier impacto de un ataque cibernético sobre los servicios esenciales. El presente trabajo define y caracteriza a las infraestructuras críticas, presenta la descripción de un conjunto particular de sistemas denominados SCADA o sistemas de control y adquisición de datos, describe casos de estudio de vulnerabilidades de dichos sistemas y alega sobre su implementación en la planta potabilizadora de agua en el Perú (Sedapal). Se muestra una conclusión conteniendo la importancia del tema, sugerencias de seguridad cibernética para Sedapal, observaciones sobre la estructura organizacional de la empresa, limitaciones y trabajos futuros.

Palabras claves: Infraestructura crítica, Sedapal, SCADA, seguridad cibernética.

 

ABSTRACT

In modern societies there are key sectors that rely on a wide range of computer systems and resources for continuous, reliable and effective operation. These sectors are known as critical infrastructures. The protection of these has become in the last years a center of attention and debate in the main countries of the world, motivating the States to generate actions to guarantee their security. At the same time, these infrastructures are mostly operated by non-government entities (private). On the other hand, the permanent changes of the technologies make necessary not only a deep work of articulation between diverse actors but the constant evaluation of different commitment scenarios, as well as the adoption of preventive and corrective measures to minimize any impact of a cyber attack on essential services. The present work defines and characterizes the critical infrastructures, presents the description of a particular set of systems called SCADA or control systems and data acquisition, describes cases of vulnerability study of said systems and alleges its implementation in the water treatment plant of water in Peru (Sedapal). A conclusion is shown containing the importance of the topic, suggestions of cybersecurity for Sedapal, observations on the organizational structure of the company, limitations and future work.

Keywords: Critical infrastructure, Sedapal, SCADA, cyber security.

 

Introducción

Los ataques cibernéticos están ocurriendo en todo el mundo. No hay un área de conflicto definida o un objetivo latente. Todos los países, incluido el Perú, pueden ser atacados por los más diversos motivos. Sean políticos, económicos o sociales.

Estando próximos a un evento de importancia para el Perú, como son los Juegos Panamericanos en julio 2019, organizar este certamen significa una gran responsabilidad para nuestro país como anfitrión, en donde participarán un total aproximado de 75,000 personas extranjeras.

En esta situación, los cibercriminales podrían aprovechar la coyuntura para poder ganar protagonismo internacional, esto tendría en primer lugar un impacto en la salud de los turistas que podrían llegar a este evento, así como de los propios ciudadanos de la capital; y como segunda prioridad tendremos la seguridad y perdidas económicas del país y, además, el deterioro del eficaz funcionamiento de las instituciones del Estado y de las administraciones públicas.

Inmerso al desarrollo de cualquier actividad humana se encuentra una serie de servicios esenciales sin los cuales no hay capacidad de subsistencia. “Pensemos en servicios tales como el sistema de transportes, el agua, la electricidad, las telecomunicaciones, etc. Por este motivo, hace unos años se acuñó el término infraestructura crítica para referirse a la prestación de estos servicios básicos imprescindibles, junto a la necesidad de su protección”.

Las necesidades del Estado en brindar servicios básicos de manera eficiente han llevado a la implementación de tecnologías capaces de asegurar una adecuada y eficiente distribución de los servicios, de acuerdo con las necesidades.

Junto a los adelantos tecnológicos que han mejorado la productividad de los servicios esenciales se ha visto un incremento de diferentes ataques que vulneran la seguridad física de las infraestructuras críticas, dado que los ataques que se vienen realizando no se pueden detener por la seguridad física, ya que se da en un espacio difícil de detectar como es el espacio cibernético, un espacio que puede ser más seguro para el atacante pues muchas veces no se puede determinar el origen ni al responsable del ataque.

Uno de los servicios esenciales para el normal desarrollo de los Juegos Panamericanos son los servicios básicos de agua que brinda Sedapal, que viene implementando el sistema SCADA para la automatización de su planta.

Un sistema SCADA es una aplicación o conjunto de aplicaciones de software especialmente diseñadas para funcionar sobre ordenadores de control de producción, con acceso a la planta mediante la comunicación digital con instrumentos y actuadores, e interfaz gráfica de alto nivel para el operador (pantallas táctiles, ratones o cursores, lápices ópticos, etc.).

Este motivo es el que nos hace presentar este artículo haciendo un estudio sobre las infraestructuras críticas de Sedapal que se ven inmersas en el normal desarrollo de los Juegos Panamericanos 2019 y las vulnerabilidades que estas presentan desde el punto de vista cibernético y cómo puede afectar un ataque cibernético en el proceso de productividad controlado por el sistema SCADA en la planta de tratamiento de agua de Sedapal; asimismo, revisaremos algunos antecedentes sobre ataques cibernéticos a infraestructuras críticas en distintos países del mundo y cuáles han sido sus consecuencias.

1. Ciberseguridad en las infraestructuras críticas (IC)  

La Unión Internacional de las Telecomunicaciones (ITU, por sus siglas en inglés) indica que una IC está compuesta por elementos físicos, como las instalaciones y los edificios, o virtuales, como los sistemas y datos. Concluye que cada país puede determinar qué áreas conforman su IC, pero agrega que típicamente abarca elementos de las tecnologías de la información y las comunicaciones, la energía, el sector bancario, el transporte, la salud pública, la provisión de alimentos y agua y los servicios esenciales del gobierno.

Actualmente, en la mayoría de los países un porcentaje importante de las IC se encuentra bajo la propiedad de entidades privadas. Sin embargo, es importante destacar que, a la hora de adoptar medidas de protección, no importa a quién pertenezca, por lo que como se verá más adelante, tanto el ámbito público como el privado deben trabajar en conjunto para garantizar su operación continua y confiable.

La mayoría de estos sectores son controlados por sistemas industriales de control y supervisión (Industrial Control System – ICS), es decir, un conjunto de dispositivos que permite supervisar y gestionar el funcionamiento de instalaciones industriales. Un ejemplo clásico de estos son los sistemas SCADA.

Los conocidos por la sigla SCADA (Supervisory Control and Data Acquisition), creados originalmente para funcionar en redes privadas, sus diseñadores entendieron en su momento que no era necesario incluir componentes de seguridad, tales como medidas de autenticación y encriptación, en su desarrollo. Estas redes corporativas aisladas se organizan bajo una topología estrella, con sensores y actuadores conectados que reciben los pulsos de las maquinarias o equipos de planta (tanques, bombeos, pozos, regulación de agua, control de calidad de agua, etc.), y a la vez, estas informaciones son recibidas en un único centro de captura de datos (DAQ, por sus siglas en inglés), para luego ser procesadas en los servidores. Producto de esta automatización, los operadores pueden visualizar en tiempo real los procesos activos en la planta, tal como se muestra en la Figura 1.

Figura 1, Arquitectura de red de un SCADA

Pero con el tiempo, las redes privadas demostraron ser caras y la posibilidad de reducir costos llevó a los ingenieros a conectar estos sistemas, anteriormente aislados y “seguros”, a Internet.

2. Casos de estudio

a. Irán 2010

Los problemas con los sistemas SCADA empezaron hace aproximadamente 10 años atrás, cuando los ciberatacantes observaron que había falencias de vulnerabilidades en el Sistema Operativo Windows al utilizar secuencias de comandos para ingresar a las redes privadas conectadas a internet de determinadas empresas estatales y privadas.

En este escenario, la seguridad de los sistemas SCADA empezó a transformarse en un tema central, las amenazas del ciberterrorismo y las noticias crecientes sobre la vulnerabilidad de este tipo de sistema son en la actualidad de gran importancia en las organizaciones. Un ejemplo de este tipo de amenazas es el malicioso virus informático llamado Stuxnet.

Stuxnet es un virus informático que busca sistemas de control industriales y luego modifica el código en ellos para permitir que los atacantes tomen control de los sistemas sin que los operadores lo noten. Una de las estrategias que utilizan los desarrolladores de Stuxnet consiste en la sustracción de certificados digitales o claves privadas de los usuarios del sistema, mediante software malicioso (troyanos). Los troyanos pasan desapercibidos en las computadoras mientras acceden al dispositivo con la intención de ejecutar acciones ocultas.

El gusano Stuxnet aprovechó cuatro debilidades previamente desconocidas en el sistema operativo Windows de Microsoft (conocido como ataque ZERO DAY). La amenaza ha sido distribuida por correos electrónicos y después por dispositivos USB infectados (Figura 2).

Figura 2, Funcionamiento de Stuxnet

El gusano fue programado específicamente para sobrescribir comandos de paquetes de datos y destruir las centrifugadoras tomando el control de 1000 máquinas que participaban en la producción de materiales nucleares. Una vez dentro del sistema de Natanz, Stuxnet escaneó todas las computadoras con sistema operativo Windows que estaban conectadas a la red, en busca de un determinado tipo de circuito llamado Controlador Lógico Programable (Programmable Logic Controller – PLC) que controla las máquinas. En este caso, el PLC que fue blanco del ataque controlaba la velocidad específica de las centrifugadoras y les dio instrucciones de autodestruirse (Figura 2).

A diferencia de la mayoría de los gusanos informáticos, Stuxnet no hizo nada en las computadoras que no cumplían con requisitos específicos. Pero una vez que encontró lo que estaba buscando, se insertó en los PLC, listo para tomar el control de las centrifugadoras.

b. Caso South Houston (Texas), 2011

Esto sucedió cuando un grupo de hackers se atribuyó el haber obtenido acceso no autorizado a la red de la planta de agua y alcantarillado South Houston. Esta intromisión fue lograda al tener dominio de las computadoras de la planta, ingresaron a la configuración del panel de control de la instalación y publicaron imágenes en línea. En la Figura 3 se muestra la interfaz de usuario sustraída que utilizaba el Departamento de South Houston para monitorear y controlar el funcionamiento de su sistema.

Otra de las siguientes actividades realizadas por este grupo, fue la develación de la contraseña que protegía ese sistema, al detallar que esta tan solo contaba con tres caracteres.

Figura 3, Captura tomada por un hacker en la instalación de tratamiento de aguas, Houston, Texas

 

c. Caso Reino Unido (Hackeo para cambiar la composición química del agua) 2016

Un grupo de hackers vinculado con Siria logró vulnerar la seguridad del Sistema SCADA de la planta depuradora de Reino Unido, comprometió las computadoras de Kemuri Water Company luego de explotar las vulnerabilidades de la red sin parche en su portal de pago de clientes orientado a Internet, hecho con el cual accedieron al control entero de la planta durante un tiempo, pudiendo recabar archivos y ejecutar algunas acciones.

Entre las actividades realizadas por el grupo se encuentran el recabar datos de dos millones y medio de consumidores, una acción relativamente común, pero destaca que fueron capaces de dar la orden de apertura y cierre de válvulas para alterar la concentración de químicos añadidos con los que tratan el agua para que sea apta para consumo general, algo que por suerte no varió la potabilidad del agua.

3. Planta potabilizadora de agua de Lima

El Servicio de Agua Potable y Alcantarillado de Lima (Sedapal) es una empresa estatal de derecho privado íntegramente de propiedad del Estado. Su misión es “Mejorar la calidad de vida de la población de Lima y Callao, mediante el abastecimiento de agua potable…”.

Para cumplir con su misión, la empresa se organiza conforme la Figura 4.

Figura 4, Organigrama general de Sedapal

La estructura orgánica está conformada por un Directorio, Gerencia General y diversas gerencias (recursos humanos, finanzas, logística, etc.), pero no identificamos una gerencia responsable por la seguridad de TI, primordial para regular, controlar y mantener la seguridad de TI de la empresa.

La empresa está descentralizada en 19 Plantas de Tratamiento de Aguas Residuales – PTAR (Figura 5), o que exige una red de datos que permita el acompañamiento y control de todas estas plantas.

Figura 5, ubicación de los PTAR

La arquitectura de acceso y seguridad informática de Sedapal está presentada en la Figura 6.

Figura 6, Red de distribución del sistema SCADA

Para acceso por internet tenemos un área denominada de zona desmilitarizada (DMZ). Dos firewalls hacen la seguridad de la DMZ y de la red interna, donde se tiene las aplicaciones y los datos de Sedapal.

La arquitectura (Figura 7) propone tener alta disponibilidad para los usuarios con implementación de hardware de alta disponibilidad y rutas de interconexión. Para la seguridad de la red, tiene protecciones lógicas, autenticación e identificación, acceso remoto por Red Virtual Privada (Virtual Private Network – VPN), solución de antivirus, control de aplicaciones y Sistema de Prevención de Intrusos (Intrusión Prevention System – IPS).

Figura 7, Arquitectura de acceso y seguridad Informática de Sedapal.

En la arquitectura también identificamos el sistema SCADA. “Sedapal viene implementando el sistema SCADA para la automatización de la planta, comprendida dentro del proceso de modernización de la empresa, de manera que pueda contar con tecnología de punta para la supervisión y operar a control remoto a través de un sistema de radio o de fibra óptica”.

La comunicación entre el centro de control y las estaciones remotas maestras es hecha por la red celular de la empresa Claro (General Packet Radio Service – GPRS), Figura 8. “El protocolo de comunicación entre la estación maestra y las estaciones remotas es Modbus”.

Figura 8, Medio de comunicación de Sedapal

El protocolo Modbus es muy utilizado con sistemas SCADA y, en estos sistemas, contiene vulnerabilidades conocidas hasta la actualidad. Por este motivo, el estudio de vulnerabilidades y la preparación de seguridad cibernética se hacen muy necesarios.

Es interesante destacar, por ejemplo, que “De las estaciones remotas se recopila información de variables del tipo hidráulico (caudal, presión, nivel de agua, etc.) y eléctrico (tensión, corriente, potencia, energía)…”. Así se puede constatar la importancia del sistema SCADA y los posibles desastres que pueden pasar en caso este sistema sufra un ataque cibernético.

 

CONCLUSIONES

Podemos concluir que los ataques cibernéticos pueden realizarse de distintas formas y por diversos medios, lo que hace que las empresas e instituciones del Estado deben implantar estrategias y métodos de seguridad para proteger sus sistemas.

Asimismo, está demostrado que un gran porcentaje de ataques cibernéticos tienen éxito por la falta de conocimiento del personal que labora en la organización, por lo que se debe capacitar al personal tanto en la seguridad física como en ciberseguridad, a fin de poder estar en la capacidad de prevenir y detectar ataques, así como estar preparados para recuperarse de los ataques.

Además, podemos destacar la importancia de la implementación y actualización constante de los sistemas de seguridad de las infraestructuras críticas del Estado, estudio de las vulnerabilidades (SCADA Modbus), la implementación y supervisión constante de las políticas de seguridad, así como la instalación de medidas activas como instalación de firewalls en defensa en profundidad, encriptación, sistemas de detección y prevención de intrusos (IDS y IPS), tener backups actualizados y otras medidas para prevenir y neutralizar el actuar delincuencial que perjudique el normal desarrollo de las actividades del Estado, particularmente de los IC relacionados con la salud pública, como es el caso de Sedapal, tratado en el presente artículo.

El objetivo de este trabajo ha sido presentar un estudio sumario sobre la viabilidad de un ataque cibernético en el proceso de productividad controlado por el sistema SCADA en la planta de tratamiento de agua de Sedapal.

Con los estudios de casos identificamos la real posibilidad de ataque en los sistemas SCADA y sus vulnerabilidades. También se ha visto los casos de South Houston y Reino Unido, plantas de tratamiento de agua blancos de ataques cibernéticos. Todo esto destaca la importancia y relevancia del tema.

Presentamos también que Sedapal utiliza el sistema SCADA en su planta y que el medio de comunicación entre el centro de control y las estaciones remotas maestras lo constituye la red GPRS de Claro. Denota que, además de todas las medidas de seguridad cibernética adoptadas por la empresa (presentadas de forma sumaria en este artículo), la contratación con la empresa Claro también necesita prever todos los mecanismos posibles de seguridad cibernética.

Por último, destacamos que la empresa tiene un Plan Estratégico de Tecnología de la Información y Telecomunicaciones (PETIC) actualizado (2015-2019) y muy bien estructurado. Este plan contiene, por ejemplo, tendencias tecnológicas, marco estratégico de TIC, recomendaciones de contingencia, entre otros ítems relevantes. Esto denota la gran preocupación de la empresa con el sector de TI. No obstante, proponemos como mejora la creación de una gerencia de seguridad de TI que asesore directamente al Directorio General.

Este trabajo presenta las limitaciones referentes a seguridad cibernética de la empresa. Las informaciones presentadas fueron recolectadas en sitios abiertos de la internet y por eso tienen pocas informaciones técnicas y ningún dato secreto que pueda perjudicar a la empresa.

Como trabajo futuro, sugerimos estudios similares a este en otras infraestructuras críticas del país, con el objeto de destacar la importancia de la seguridad cibernética y estar preparado para posibles ataques cibernéticos en infraestructuras críticas del Perú.


BIBLIOGRAFÍA

Caro Bejarano, M. J. (2011). La protección de las infraestructuras críticas. 2017, de ieee.es.

Pérez López, E. (2015). Los sistemas SCADA en la automatización industrial. Tecnología en marcha, Vol. 28, 3-14.

ITU Study group q.22/1 (2008). Report on best practices for a national approach to cybersecurity: a management framework for organizing national cybersecurity efforts – ITU-D secretariat draft.

Shearer, J. (2017), Symantec Corporation, W32.Stuxnet.

Wonder (2017). Virus Stuxnet. 2017, BBC Mundo.

Bourne, J. (2011). Ciberataques contra plantas de tratamiento de agua en EE.UU.

Goodin, D. (2011). Second water utility reportedly hit by hack attack, The Register.

Plan Estratégico de Tecnologías de la Información y Telecomunicaciones (PETIC). Sedapal 2015-2019.

Servicio de Agua Potable y Alcantarillado de Lima. Sedapal.

Procetradi. Desarrollo e Integración de Proyectos.

Benbenishti, L. (2017). Cyberbit Protecting a New Dimension. de Modbus Protocol Vulnerabilities

¡Deja tu Comentario!

Tu correo electrónico no será publicado.