Hasta ahora, los ataques con ransomware han sido más bien inofensivos. El procedimiento usual es simple: el usuario da click en un link o abre un archivo infectado que suele llegar por correo, y en seguida su computador se bloquea con un anuncio de rescate. A continuación, para recuperar sus datos, debe pagar cierta cantidad en bitcoins, o simplemente no hacerlo porque no considera esa información tan importante, porque tiene respaldo o porque no cuenta con los recursos.
El mes pasado, sin embargo, tuvimos noticia de un hotel cuyas cerraduras electrónicas fueron secuestradas, dejando atrapados a los huéspedes. Ante este penoso escenario, los encargados no tuvieron más remedio que pagar el rescate para la inmediata restitución de sus sistemas. El ransomware está evolucionando en algo mucho más peligroso, y así lo demuestra también un reciente estudio realizado por investigadores del Instituto de Tecnología de Georgia (GIT) en Estados Unidos. De él, básicamente, se puede extraer una afirmación verdaderamente alarmante: en teoría, los hackers podrían llegar a sabotear los sistemas industriales, que controlan desde el tratamiento de las aguas que llegan a nuestros grifos hasta los delicados procesos de las plantas nucleares.
Llamado precisamente “Fuera de Control: Ransomware para Sistemas de Control Industrial”, en esta investigación David Formby, Srikar Durbha y Raheem Beyah desarrollaron el primer tipo conocido de ransomware que podría afectar los Sistemas de Control Industrial (ICS), más específicamente, los Controles Lógicos Programables (PLC). Estos son sistemas que utilizan Internet de las Cosas a gran escala para automatizar procesos electromecánicos. Así, por ejemplo, son utilizados para manejar la maquinaria en las fábricas e industrias de plástico, madera, cemento y tratamientos térmicos, además de en centrales eléctricas y plantas de tratamiento de agua.
En el estudio se utiliza este nuevo tipo de ransomware, llamado LogicLocker, para llevar a cabo una prueba de concepto donde, hipotéticamente, se logran infectar los PLC de una planta de tratamiento de agua. Los métodos de entrada de este malware podrían ser por fuerza bruta (cientos de intentos constantes al día) o robo de credenciales, lo que a su vez lograrían los hackers por los métodos usuales: el clásico correo phishing que podría abrir cualquiera de los empleados. Y una vez en el sistema, se dedicarían a secuestrar los PLC con más o menos grado de habilidad. En caso de no ser tan habilidosos, simplemente se limitarían a dañar la maquinaria enviándole órdenes al azar, pero, en caso contrario, los hackers podrían básicamente secuestrar la fábrica y manejarla a distancia. Lo que implica que podrían cortar el sistema de tratamiento o incluso envenenar el agua con un exceso de cloro si no se paga el rescate en el tiempo requerido, además, falsificando ante los operadores los niveles seguros mientras toman el control los sistemas antes de que puedan detenerlos.
La cantidad de este rescate también es alarmante. Como explican en el informe, el famoso apagón de 2003 en Estados Unidos, que fue causado por un sencillo bug, causó pérdidas entre 7 y 10 billones de dólares por tan sólo dos días de duración. Por cada hora detenidas, las fábricas pueden perder millones de dólares, y eliminar este malware del sistema, debido a que los fabricantes de los PLC suelen implementar plataformas de seguridad bastante débiles, puede llegar a tardarse días. Por ello, la oferta de una restitución inmediata resultaría mucho más económica para las víctimas. En el documento explican que por infectar con un mismo código malicioso un modelo específico de PLC, que puede extenderse hasta en 1400 dispositivos, el atacante podría cobrar 21 millones de dólares como rescate.
Por otro lado, para encontrar dispositivos vulnerables, los investigadores utilizaron un buscador conocido como Shodan, que le permite al usuario encontrar iguales o diferentes tipos específicos de equipos conectados a Internet. El lado oscuro de Shodan, sin embargo, es que también puede ser utilizado por los hackers para encontrar víctimas.
Curiosamente, las recomendaciones que otorgan para la defensa no son muy distintas de las que se suele dar a cualquier tipo de empresa: cambiar todas las contraseñas de fábrica, deshabilitar protocolos no ncesarios para operar, utilizar listas de control de acceso, deshabilitar la programación remota, monitorear las redes en busca de actividad sospechosa, actualizar y respaldar los sistemas y educar a los empleados sobre este tipo de amenazas.
Un escenario nuclear
Todos hemos oído hablar en algún momento del famoso desastre de Chernóbil, el peor accidente nuclear de la historia. En este estudio no se habla de cómo los hackers podrían tomar control de una planta nuclear amenazando con causar otro desastre de proporciones bíblicas, pero se deja abierta la posibilidad de ello.
Los investigadores mencionan que, en teoría, los Sistemas de Control Industrial podrían controlarse de forma remota, y esto no sólo incluye a los PLC, sino también a los softwares SCADA (Supervisión, Control y Adquisición de Datos) y los Sistemas de Control Distribuido (DCS). Estos últimos, a su vez, incluyen una buena variedad de industrias de manejo altamente delicado, como las plantas químicas y nucleares. De hecho, en el estudio sí se menciona que, en teoría, los hackers podrían tomar control de una planta química y mezclar o liberar toda clase de sustancias tóxicas.
Por los momentos, sin embargo, el sector industrial ha sido poco atacado en este aspecto, pero no se debe a una alta seguridad, sino a que los hackers aún no han desarrollado una estrategia que les permita obtener ganancias por ello.
De acuerdo con las rampantes vulnerabilidades y protocolos inseguros detallados en un informe de julio de 2016 del Grupo de Inteligencia de Seguridad de Kaspersky, [los sistemas de seguridad de estos dispositivos] todavía son completamente inseguros y ni siquiera parecen estar mejorando. La única otra explicación de esta frágil paz es que los ciberdelincuentes todavía no han descubierto cómo traducir sus operaciones en un modelo de negocio rentable para este entorno diferente.
David Formby, Srikar Durbha y Raheem Beyah
Investigadores
Los investigadores concluyen este informe indicando que continuarán investigando la viabilidad de este tipo de ransomware y desarrollando más estrategias defensivas para estar preparados para el futuro. Esperemos que siempre vayan un paso delante de los posibles hackers.
Imagen destacada de pixabay.com
