Hasta ahora, los ataques con ransomware han sido mรกs bien inofensivos. El procedimiento usual es simple: el usuario da click en un link o abre un archivo infectado que suele llegar por correo, y en seguida su computador se bloquea con un anuncio de rescate. A continuaciรณn, para recuperar sus datos, debe pagar cierta cantidad en bitcoins, o simplemente no hacerlo porque no considera esa informaciรณn tan importante, porque tiene respaldo o porque no cuenta con los recursos.
El mes pasado, sin embargo, tuvimos noticia de un hotel cuyas cerraduras electrรณnicas fueron secuestradas, dejando atrapados a los huรฉspedes. Ante este penoso escenario, los encargados no tuvieron mรกs remedio que pagar el rescate para la inmediata restituciรณn de sus sistemas. El ransomware estรก evolucionando en algo mucho mรกs peligroso, y asรญ lo demuestra tambiรฉn un reciente estudio realizado por investigadores del Instituto de Tecnologรญa de Georgia (GIT) en Estados Unidos. De รฉl, bรกsicamente, se puede extraer una afirmaciรณn verdaderamente alarmante: en teorรญa, los hackers podrรญan llegar a sabotear los sistemas industriales, que controlan desde el tratamiento de las aguas que llegan a nuestros grifos hasta los delicados procesos de las plantas nucleares.
Llamado precisamente โFuera de Control: Ransomware para Sistemas de Control Industrialโ, en esta investigaciรณn David Formby, Srikar Durbha y Raheem Beyah desarrollaron el primer tipo conocido de ransomware que podrรญa afectar los Sistemas de Control Industrial (ICS), mรกs especรญficamente, los Controles Lรณgicos Programables (PLC). Estos son sistemas que utilizan Internet de las Cosas a gran escala para automatizar procesos electromecรกnicos. Asรญ, por ejemplo, son utilizados para manejar la maquinaria en las fรกbricas e industrias de plรกstico, madera, cemento y tratamientos tรฉrmicos, ademรกs de en centrales elรฉctricas y plantas de tratamiento de agua.
En el estudio se utiliza este nuevo tipo de ransomware, llamado LogicLocker, para llevar a cabo una prueba de concepto donde, hipotรฉticamente, se logran infectar los PLC de una planta de tratamiento de agua. Los mรฉtodos de entrada de este malware podrรญan ser por fuerza bruta (cientos de intentos constantes al dรญa) o robo de credenciales, lo que a su vez lograrรญan los hackers por los mรฉtodos usuales: el clรกsico correo phishing que podrรญa abrir cualquiera de los empleados. Y una vez en el sistema, se dedicarรญan a secuestrar los PLC con mรกs o menos grado de habilidad. En caso de no ser tan habilidosos, simplemente se limitarรญan a daรฑar la maquinaria enviรกndole รณrdenes al azar, pero, en caso contrario, los hackers podrรญan bรกsicamente secuestrar la fรกbrica y manejarla a distancia. Lo que implica que podrรญan cortar el sistema de tratamiento o incluso envenenar el agua con un exceso de cloro si no se paga el rescate en el tiempo requerido, ademรกs, falsificando ante los operadores los niveles seguros mientras toman el control los sistemas antes de que puedan detenerlos.
La cantidad de este rescate tambiรฉn es alarmante. Como explican en el informe, el famoso apagรณn de 2003 en Estados Unidos, que fue causado por un sencillo bug, causรณ pรฉrdidas entre 7 y 10 billones de dรณlares por tan sรณlo dos dรญas de duraciรณn. Por cada hora detenidas, las fรกbricas pueden perder millones de dรณlares, y eliminar este malware del sistema, debido a que los fabricantes de los PLC suelen implementar plataformas de seguridad bastante dรฉbiles, puede llegar a tardarse dรญas. Por ello, la oferta de una restituciรณn inmediata resultarรญa mucho mรกs econรณmica para las vรญctimas. En el documento explican que por infectar con un mismo cรณdigo malicioso un modelo especรญfico de PLC, que puede extenderse hasta en 1400 dispositivos, el atacante podrรญa cobrar 21 millones de dรณlares como rescate.
Por otro lado, para encontrar dispositivos vulnerables, los investigadores utilizaron un buscador conocido como Shodan, que le permite al usuario encontrar iguales o diferentes tipos especรญficos de equipos conectados a Internet. El lado oscuro de Shodan, sin embargo, es que tambiรฉn puede ser utilizado por los hackers para encontrar vรญctimas.
Curiosamente, las recomendaciones que otorgan para la defensa no son muy distintas de las que se suele dar a cualquier tipo de empresa: cambiar todas las contraseรฑas de fรกbrica, deshabilitar protocolos no ncesarios para operar, utilizar listas de control de acceso, deshabilitar la programaciรณn remota, monitorear las redes en busca de actividad sospechosa, actualizar y respaldar los sistemas y educar a los empleados sobre este tipo de amenazas.
Un escenario nuclear
Todos hemos oรญdo hablar en algรบn momento del famoso desastre de Chernรณbil, el peor accidente nuclear de la historia. En este estudio no se habla de cรณmo los hackers podrรญan tomar control de una planta nuclear amenazando con causar otro desastre de proporciones bรญblicas, pero se deja abierta la posibilidad de ello.
Los investigadores mencionan que, en teorรญa, los Sistemas de Control Industrial podrรญan controlarse de forma remota, y esto no sรณlo incluye a los PLC, sino tambiรฉn a los softwares SCADA (Supervisiรณn, Control y Adquisiciรณn de Datos) y los Sistemas de Control Distribuido (DCS). Estos รบltimos, a su vez, incluyen una buena variedad de industrias de manejo altamente delicado, como las plantas quรญmicas y nucleares. De hecho, en el estudio sรญ se menciona que, en teorรญa, los hackers podrรญan tomar control de una planta quรญmica y mezclar o liberar toda clase de sustancias tรณxicas.
Por los momentos, sin embargo, el sector industrial ha sido poco atacado en este aspecto, pero no se debe a una alta seguridad, sino a que los hackers aรบn no han desarrollado una estrategia que les permita obtener ganancias por ello.
De acuerdo con las rampantes vulnerabilidades y protocolos inseguros detallados en un informe de julio de 2016 del Grupo de Inteligencia de Seguridad de Kaspersky, [los sistemas de seguridad de estos dispositivos] todavรญa son completamente inseguros y ni siquiera parecen estar mejorando. La รบnica otra explicaciรณn de esta frรกgil paz es que los ciberdelincuentes todavรญa no han descubierto cรณmo traducir sus operaciones en un modelo de negocio rentable para este entorno diferente.
David Formby, Srikar Durbha y Raheem Beyah
Investigadores
Los investigadores concluyen este informe indicando que continuarรกn investigando la viabilidad de este tipo de ransomware y desarrollando mรกs estrategias defensivas para estar preparados para el futuro. Esperemos que siempre vayan un paso delante de los posibles hackers.
Imagen destacada de pixabay.comย