A inicios de febrero de 2021, las autoridades de Oldsmar, Florida anunciaron que su planta de tratamiento de aguas había sido víctima de un ciberataque. De acuerdo con su explicación, el operador de la planta notó cómo el mouse de su computadora se movía solo y cambiaba la cantidad de hidróxido de sodio en el agua de 100 a 11,100 partes por millón. Qué miedo, ¿no?
Como primera impresión, el ataque resulta alarmante, dado que un cambio tan notorio en la calidad del agua puede resultar letal si alguien la bebiera. Sin embargo, el incidente no causó daño alguno, ya que el operador corrigió el cambio inmediatamente.
El hecho de que un ciberataque pueda modificar procesos físicos resulta preocupante, pero les tengo buenas noticias: este ataque, por fortuna, fue bastante sencillo y es poco probable que hubiera podido dañar a nadie. Vamos a analizarlo paso por paso.
¿Cómo sucedió?
Históricamente, las plantas industriales o de infraestructura crítica tenían redes totalmente aisladas de otras redes externas. No obstante, esto ha ido cambiando a lo largo de los años.
Hoy en día, los controladores industriales y otro equipo que soporta procesos de producción físicos se encuentran interconectados con computadoras y distintos componentes de software. A veces estos sistemas se encuentran separados rigurosamente, pero también a veces quedan expuestos a redes externas como internet.
La siguiente imagen muestra un ejemplo de un panel que un operador podría usar para controlar procesos de tratamiento de aguas.
En el caso de la planta de aguas de Oldsmar, los operadores cometieron un error común. Dejaron expuesta su infraestructura en internet. Específicamente, un servicio conocido como TeamViewer, que es usado para el control remoto de servicios.
El atacante muy probablemente encontró este servicio expuesto en línea y lo utilizó para acceder al panel donde se podía modificar la calidad del agua. Una vez con acceso, usar uno de estos paneles es muy intuitivo. Quizás el actor haya encontrado la infraestructura de Oldsmar utilizando servicios comunes para encontrar objetos conectados a internet como Shodan o Censys.
Sólo para mostrar mi punto, decidí hacer un pequeñísimo experimento. Utilizando Shodan hice un par de búsquedas y encontré que, tan sólo en México, actualmente es posible encontrar 5.4 millones de dispositivos u objetos expuestos vía internet.
En cuestión de minutos encontré cámaras, dispositivos para automatizar edificios y tanques para almacenar y distribuir gasolina, entre otras cosas. Además, con una pequeña modificación en mi búsqueda, encontré que 1.3 millones de estos dispositivos son accesibles sin contraseña.
Explicar más a fondo cómo encontrar objetos en línea utilizando fuentes abiertas de inteligencia no es el propósito de este blog. Sin embargo, pueden aprender más sobre estos recursos en mi ponencia de VirusBulletin 2019.
Si encuentran algo interesante expuesto, ¡avísenme, por favor! Podríamos ayudar a prevenir el próximo ataque.
¿El ataque pudo haber causado muertes?
Lamento ser aguafiestas, pero depende. En el caso de ataques ciberfísicos, existen cuestiones que tomar en cuenta para determinar si un ataque resulta una amenaza inminente o no. Esto se debe a que atacar sistemas industriales o infraestructura crítica no son papas fritas.
Normalmente, ingenieros especializados se encargan de construir este tipo de instalaciones teniendo en mente el prevenir accidentes o ataques. Esto incluye varios tipos de controles de seguridad a nivel administrativo, físico y cibernético. Por lo tanto, modificar un proceso productivo con un ciberataque normalmente requiere de mucha planeación y conocimiento sobre la cadena de producción de la víctima.
Utilizando una aproximación multidisciplinaria, vamos a analizar cuáles pudieron ser las implicaciones del ataque.
Como expliqué anteriormente, el ataque de Oldsmar fue aparentemente muy sencillo. El atacante únicamente tuvo acceso al panel del operador, pero no mostró la capacidad o el interés de permanecer escondido y descifrar otros controles de seguridad que protegieran a usuarios de modificaciones en el proceso físico.
Un actor más experimentado con más recursos o con un interés particular en generar daño a individuos hubiera buscado hacer modificaciones menos obvias en el proceso y engañar al operador modificando los valores en la pantalla. Esto hubiera podido resultar en que el operador no supiera que había cambios en la calidad del agua o lo hubiera podido forzar a tomar una acción errónea al observar valores que no correspondían con la realidad del proceso físico.
Poniendo esto en contexto, todo aparenta que los actores detrás de este ataque tenían fines oportunistas y se encontraban lejos de conocer el proceso lo suficiente como para poder generar un ataque que dañara a los usuarios. Sin embargo, el ataque resulta de cualquier modo preocupante, ya que muestra el reto que enfrentamos de mantener protegidos sistemas de comunicación remota utilizados en procesos físicos. Idealmente, no deberíamos poder acceder a plantas de tratamiento de aguas desde internet.
Las instalaciones de procesos industriales son creadas por ingenieros que establecen controles de seguridad a través del proceso. Por lo tanto, a pesar de que el atacante logró saltar la barrera de entrada, esto no significa que el proceso estuviera en peligro. Otros controles de seguridad (como sensores de calidad de agua o ingenieros realizando pruebas de calidad en persona) hubieran descubierto la modificación antes de que el agua contaminada llegara al hogar de los usuarios.
No obstante, existe un punto que me pareció muy interesante en un blog publicado por Jake Brodsky. Más allá de los controles de seguridad en el proceso físico, este ataque debe recordarnos sobre la importancia de diseñar tecnología con la seguridad de los usuarios en mente.
Así pues, resulta absurdo que el panel de control permitiera a un usuario de una planta de tratamiento de aguas elegir un valor 11 veces por encima del hidróxido de sodio aceptado para el consumo humano. En el momento en que el atacante intentó modificar la calidad del agua de modo tan radical, el sistema debería haber regresado a un nivel óptimo y requerido de algún control adicional como una segunda autenticación antes de entrar a un estado potencialmente dañino.
En tercer lugar, podemos analizar el incidente desde una perspectiva química. Para esto conseguí el apoyo de Patty Zafra, profesora de química en la Universidad Nacional Autónoma de México (UNAM).
Inspirada por el incidente, la profesora decidió (sin presión alguna, por supuesto) diseñar un ejercicio para sus alumnos. En él, ella les pide investigar cuál es el posible resultado de las acciones del atacante, es decir, qué sucede cuando el actor cambia la cantidad de hidróxido de sodio en el agua de 100 a 11,100 partes por millón.
Respondiendo a esta pregunta, lo primero que resalta es que el pH del agua saliendo de la planta debe estar entre 6.5 y 9.5 unidades. Si el nivel del pH sale de estos niveles, el agua puede resultar corrosiva y dañar las tuberías o afectar la salud de los usuarios. Todo depende de qué tan grande sea la modificación.
Después de una serie de cálculos maravillosos, la profesora descubre que la modificación en el agua durante el incidente resultaría, teóricamente, en un nivel de pH equivalente a 13.44 unidades. En otras palabras, un individuo que bebiera esta agua sufriría de quemaduras en los tejidos del tubo digestivo superior y posibles perforaciones en el esófago y el estómago.
Tal parece que al atacante se le pasó un poquito la mano. Hubiera sido posible generar un gran impacto aún con una modificación mucho menos en la calidad del agua. Un atacante mejor calificado y con intenciones de dañar a los usuarios hubiera investigado cuál era la menor modificación posible para alcanzar su meta y pasar desapercibido.
En fin, el punto es que las clases de química en preparatoria sí servían para algo. ¿Quién lo diría?
¿Puede pasar esto en México y América Latina?
Desafortunadamente, sí. Con cada vez más frecuencia observamos que atacantes con pocos recursos o poco sofisticados utilizan herramientas a la mano para acceder a sistemas y dispositivos de organizaciones industriales. Esto se debe, por un lado, al incremento en el uso de tecnologías digitales para manejar procesos físicos de modo remoto y, por el otro, a que la información sobre este tipo de sistemas es cada vez más fácil de encontrar.
La mala noticia es que es probable que haya muchas organizaciones en América Latina vulnerables a este tipo de ataques. Es más, el tema todavía ni siquiera está en nuestra agenda. La buena noticia es que, a pesar de ello, generar un impacto físico es aún bastante complejo y, por lo tanto, es poco probable que dichos ataques resulten en destrucción, al menos en el corto plazo.
Por el momento, lo que es importante es que estemos al tanto del reto que enfrentamos. Esto es particularmente relevante considerando el interés de los mercados en intensificar el uso de tecnologías digitales para eficientar procesos físicos. Aquello que solemos llamar Industria 4.0 para que suene prometedor. Por un lado, esta estrategia promete enormes beneficios en productividad, pero por el otro puede resultar bastante problemático si no nos preparamos primero para mantener seguros nuestros sistemas ciberfísicos.
Cortesía de Kapell Tech