En 2010, el mundo descubrió Stuxnet. Se trata de un malware que afectó a las máquinas centrifugadoras de una planta de enriquecimiento de uranio iraní y que puso de manifiesto la vulnerabilidad de los entornos industriales. Desde este episodio, que se produjo a partir de una pequeña memoria USB infectada, el riesgo ciber se ha extendido a la totalidad del universo industrial. Y más de diez años después, las infraestructuras de JBS Foods (agroalimentación) y Colonial Pipeline (energía) fueron víctimas de ciberataques y sus líneas de producción se vieron afectadas durante semanas.
A lo largo de los años, el modus operandi de los ciberatacantes ha evolucionado, pero el sistema de control industrial de las fábricas sigue siendo un objetivo principal. En este artículo, analizamos el impacto que ejerció Stuxnet en 2010. ¿Qué legado ha dejado este ataque a los ciberdelincuentes en 2022? ¿Qué ha aprendido el sector industrial de ello? Respuestas y comentarios cruzados.
Stuxnet: la pesadilla de los entornos industriales
Así pues, ¿qué es Stuxnet? En junio de 2010, se detectó el gusano Stuxnet en una máquina de un empleado de la central nuclear de Bushehr, en Irán. El objetivo de este gusano era reprogramar el funcionamiento de las máquinas industriales de Siemens, alterar el buen funcionamiento de las centrifugadoras y detener así el programa de enriquecimiento nuclear iraní en curso.
El gusano infectó 30 000 activos informáticos en todo el país y posteriormente se detectó en Alemania, Francia, la India e Indonesia, tras lo que el número de activos afectados aumentó hasta 45 000. No obstante, por su diseño, Stuxnet debería haber sido un malware indetectable. Y, obviamente, tenía la capacidad de analizar las comunicaciones enviadas a las máquinas e instalarse a sí mismo en un huésped mediante un movimiento lateral. Para ello, los ciberatacantes analizaron el funcionamiento de los protocolos de comunicación OT y descubrieron debilidades tecnológicas relacionadas con la autenticación. «Para su ataque, los creadores de Stuxnet se valieron de la ausencia de autenticación y encriptación del protocolo Siemens S7, así como de un control frente a la reproducción», explica Marco Genovese, ingeniero de preventa y experto industrial de Stormshield. «Esta debilidad permitió constatar que estos protocolos OT deberían haber incorporado una capa de seguridad. Esta necesidad de seguridad adicional se implementaría más adelante, en la segunda versión del protocolo, denominada S7 Plus. Por desgracia, muchas empresas industriales siguen utilizando este protocolo en su versión de 2010». Basado en el uso de una serie de vulnerabilidades Zero Day en el sistema operativo Windows y dirigido al sistema de control de supervisión y adquisición de datos (SCADA), este ciberataque fue el primer ataque dirigido que alteró el funcionamiento de la maquinaria industrial en un entorno de alta seguridad. Comprometer un sistema de control industrial de este tipo no conectado a Internet parecía, en aquel entonces, una misión extremadamente compleja, ya que en 2010 los ciberataques se dirigían principalmente a entornos informáticos. Stuxnet fue el primer ataque conocido que se dirigió a entornos OT y trajo consigo la constatación de que la industria podría ser ahora la víctima. Antes de este episodio, la complejidad del entorno industrial y la dificultad de aplicación sugerían que atacar este tipo de objetivos no era una inversión atractiva.
Y, para hacer frente a tal complejidad, el desarrollo de este malware requirió importantes recursos financieros y humanos para comprender el funcionamiento del programa de enriquecimiento nuclear iraní y la infraestructura tecnológica de Siemens. Todo este trabajo permitió desarrollar, capa tras capa, puntos de compromiso con el objetivo de llegar al final de la cadena a la máquina PLC S7-300, encargada de los controladores de velocidad de las centrifugadoras. Para Ilias Sidqui, consultor sénior de Wavestone, la complejidad de este ataque llevó rápidamente a atribuirlo a un actor estatal: «Para desarrollar este malware, fue necesario construir un modelo idéntico mediante la adquisición de equipos industriales muy costosos, lo que implicaba el conocimiento de las versiones de las máquinas utilizadas en Irán. La complejidad de todos estos parámetros demostró rápidamente que solo uno o varios Estados eran capaces de poner en marcha tales medios». Combinación de ataques Zero Day, compromiso de un sistema de información mediante una memoria USB, movimiento lateral, usurpación del acceso de administrador, capacidad de reprogramar las máquinas... Sin saberlo, este gusano sentó las bases de una nueva complejidad en la ciberdelincuencia.
La complejidad de todos estos parámetros demostró rápidamente que solo uno o varios Estados eran capaces de poner en marcha tales medios.
Ilias Sidqui, consultor sénior de Wavestone
Al cumplir su objetivo principal, Stuxnet marcó la historia geopolítica. «Está claro que ha habido un antes y un después de Stuxnet, y los aliados de la OTAN tampoco se equivocaron cuando reconocieron en julio de 2016, en la cumbre de Varsovia, el ciberespacio como un área de operaciones militares por derecho propio al igual que la tierra, el mar o el cielo», afirma Fabien Miquet, director de productos y soluciones de seguridad de Siemens. Sin embargo, este gusano también marcó la historia de la ciberseguridad por sus legados tecnológicos y estratégicos, que posteriormente se reutilizaron por parte de los principales grupos de ciberatacantes durante décadas.
Los múltiples legados de Stuxnet
Desde la demostración de la viabilidad de un ataque de este tipo hasta el carácter innovador de la forma de operar, los ciberatacantes posteriores a Stuxnet se vieron influenciados por este ataque. Doce años después de su descubrimiento, el tecnicismo y la dificultad de su aplicación siguen siendo un caso de estudio. El primero de una creciente familia de malware, será para siempre el primer gusano específicamente dedicado a comprometer los sistemas de control industrial.
Y, en esta demostración de penetración y compromiso de un entorno altamente seguro, Stuxnet atrajo la atención y fue copiado unos meses después. Si bien con técnicas y vectores de ataque diferentes, el objetivo siguió siendo el mismo en muchos de los ciberataques que se produjeron posteriormente en todo el mundo: atacar a las máquinas industriales. De Rusia a Irán, estos malwares se clasificarían en una familia separada, denominada «Stuxnet-like». En 2012, las empresas Saudi Aramco y RasGas fueron víctimas de un ciberataque atribuido al Estado iraní. La novedad frente a Stuxnet fue el uso de ransomware, en este caso Shamoon, para paralizar la actividad de estas empresas industriales. En 2013, el sistema de control de las compuertas de descarga de la presa de Bowman, en Estados Unidos, se vio comprometido. Según una investigación del Wall Street Journal, este ataque fue una respuesta de las autoridades iraníes a Stuxnet. En 2015, los hornos de una acería en Alemania también fueron víctimas de un ciberataque. Definido por los servicios de inteligencia alemanes como un ataque «Stuxnet-like», los detalles e implicaciones del ataque no fueron revelados. Al mismo tiempo, Ucrania también se vio afectada por el malware, esta vez dirigido a las instalaciones eléctricas del país con los malwares «Black Energy» y «CrashOverride» en 2015, y posteriormente «Tritón» en 2017. Fueron ataques atribuidos a la acción de grupos de cibercriminales rusos y que, sobre todo, ilustran la evolución de la amenaza: «Mientras que el ataque de Black Energy demostró la posibilidad de dañar una central eléctrica sin ningún conocimiento particular de los mensajes industriales, el ataque de Triton puso de manifiesto la vulnerabilidad del propio sistema de protección de la red OT», explica Marco Genovese.
En paralelo a los ciberataques, el modus operandi de Stuxnet también influyó en los investigadores de ciberseguridad. En 2015, investigadores alemanes crearon otro gusano informático, denominado PLC Blaster, capaz de atacar la última generación de máquinas de la serie S7 de Siemens utilizando parte del modus operandi de Stuxnet. Y mientras que Stuxnet necesitaba una máquina huésped conectada a la red industrial, el malware PLC Blaster tiene la capacidad de infectar máquinas directamente entre sí desde el protocolo TCP/IP. Presentado durante la conferencia Black Hat USA, esta prueba de concepto demostró la vulnerabilidad de los entornos industriales y la facilidad con la que este gusano puede propagarse de un equipo a otro.
¿Podría el ataque Stuxnet seguir cobrándose víctimas?
¿Es posible un ataque como el de Stuxnet en 2022? Una pregunta pertinente a la que Ilias Sidqui responde sin rodeos: «Una situación como la de Stuxnet sigue siendo posible en 2022, porque el principio sigue siendo el mismo: siempre ha habido, hay y habrá lagunas Zero Day que permiten a los ciberdelincuentes disponer de una ventaja ofensiva». Por tanto, la posibilidad del ataque sigue estando ahí, pero no necesariamente contra la industria nuclear, según Marco Genovese: «Sin duda, hoy en día será más difícil llevar a cabo un ataque similar al de Stuxnet contra una central nuclear, pero las últimas acciones en Ucrania demuestran que ya es posible afectar a las redes energéticas físicas de energía (agua, gas, electricidad) con un ciberataque».
También resulta importante señalar que los últimos ciberataques significativos no han utilizado funcionamientos muy avanzados. Los ciberataques a Colonial Pipeline y JBS Foods son más bien actos oportunistas que ataques premeditados como el de Stuxnet. Con el uso de una contraseña filtrada en la darkweb para Colonial Pipeline y una vulnerabilidad conocida en una herramienta de conexión en remoto para JBS Foods, la dificultad de penetración e implementación fue mucho menos compleja que en el caso de Stuxnet. Porque, de hecho, la superficie de ataque de las empresas industriales va en aumento. Esta tendencia se ha visto impulsada en los últimos años por la adopción de la convergencia TI/OT en los sistemas de información. Ello constituye una ventaja para los ciberdelincuentes. «En la actualidad, los entornos informáticos y de oficina tradicionales están interconectados con los entornos industriales de OT», explica Ilias Sidqui. Se trata de una pasarela que también utilizan los grupos de ciberdelincuentes, por lo que ya no es necesario efectuar desarrollos específicos ni la búsqueda de vulnerabilidades Zero Day. Por ello, cada vez observamos más ataques de ransomware dirigidos a entornos industriales. «La digitalización acelerada genera, en última instancia, oportunidades para todos: para usted, para mí, para nuestros clientes... pero también para los atacantes de nuestros sistemas, cada vez más conectados», añade Fabien Miquet. «Lejos de ser una fatalidad, únicamente debemos ser conscientes de ello y tenemos el deber estar alerta de alguna manera: ¡la digitalización no es posible sin la ciberseguridad!».
Pero entonces, ¿qué nivel de madurez tiene el sector industrial ante esta amenaza? Un dato de Gartner, que explicaba que el 60 % de los ataques llevados a cabo con éxito en 2020 se basaron en la explotación de vulnerabilidades conocidas, pero no corregidas, ofrece una primera respuesta... En nuestro barómetro de 2021 sobre la ciberseguridad en las redes operativas, el 51 % de los encuestados afirmó haber sufrido al menos un ciberataque en su red operativa. Y el 27 % ya había experimentado una interrupción o una perturbación de la producción. Sin embargo, existen multitud de posibles soluciones para la protección. La detección de vulnerabilidades, la gestión de parches, la segmentación de la red, la formación... Las soluciones de ciberseguridad parecen hacer frente a un reto de implantación en entornos industriales. Como confirma Fabien Miquet: «En efecto, la seguridad en una fábrica cuyo objetivo final no es evolucionar sus tecnologías, sino producir de forma estable y sostenible, es un verdadero reto. Y no importa si estas tecnologías son «inseguras por diseño»; el hecho de que lleven treinta o cuarenta años funcionando es suficiente para muchos fabricantes aún hoy en día, aunque no hayan sido diseñadas para aplicar soluciones de ciberseguridad. Definitivamente, las mentalidades no cambian todas a la misma velocidad, suele depender de la frecuencia con la que se producen los ciberataques... En respuesta a estos acontecimientos, Siemens implementó nuevos mecanismos de seguridad en sus máquinas. Y para ello, hemos importado las buenas prácticas informáticas al mundo de la OT, por ejemplo, como nuestras máquinas, que ahora utilizan el protocolo de encriptación TLS, conocido y reconocido por su solidez».
Así, sin saberlo, los autores de Stuxnet influyeron e hicieron evolucionar en gran medida la complejidad de los ciberataques en entornos OT. Y la convergencia de los entornos de TI/OT parece facilitar el movimiento de los atacantes de un entorno a otro. Será interesante observar cómo se adaptarán los gestores de OT en los próximos años para hacer convivir la deuda técnica, los entornos OT/TI, el uso de nuevas tecnologías y la ciberseguridad. Un programa bien nutrido.