CIBERSEGURIDAD
Las centrales nucleares desatienden el riesgo de ataques informáticos
Un informe internacional de expertos alerta de la poca precaución contra los ciberataques. Desde 1992 se han producido al menos ocho grandes incidentes
AMPLIAR FOTOUn operario de la central nuclear de Wolsong (Gyeongju, Corea del Sur) participa en un ejercicio de protección contra ciberataques. La empresa propietaria sufrió uno, atribuido a Corea del Norte, en 2014. / GETTY
Las centrales nucleares se ocupan tanto de los riesgos de seguridad física que desatienden su protección contra los ciberataques. Esta es la conclusión principal de un estudio internacional que ha recogido la opinión de 30 expertos que trabajan o han trabajado para estas instalaciones.
Todos los expertos consultados en el trabajo Ciberseguridad en las Instalaciones Civiles Nucleares por el Real Instituto de Asuntos Exteriores de Reino Unido proceden de países con una red importante de centrales nucleares. En su mayoría, de Reino Unido, Japón, Francia y Estados Unidos, pero también de otras potencias en energía nuclear, como Rusia, Ucrania, Alemania y Japón.
Contra la creencia de que todas las centrales nucleares están aisladas de Internet, la autora del informe, Caroline Baylon, ha indicado que "están conectadas a Ia Red la mayoría de las economías avanzadas, como Reino Unido o Estados Unidos". No obstante, disponen de redes virtuales privadas, muy habituales en grandes empresas y organismos, que codifican la información y la protegen de terceros. Estas redes deben estar separadas de las que operan físicamente la central nuclear.
Para el experto en ciberseguridad Arturo Ribagorda, catedrático de la Universidad Carlos III de Madrid, estas redes privadas no ofrecen garantías suficientes de protección: “Al fin y al cabo están conectadas a Internet y, por tanto, muestran también vulnerabilidades; permiten introducir, por ejemplo, información maliciosa”, ha señalado. Por fortuna, es preciso disponer de conocimientos “muy sofisticados” para burlar estos sistemas, que suelen ser específicos para cada central.
La autora del informe matiza que la mayoría de los sistemas que gestionan una central solo permiten que la información salga del sistema y no que se introduzca desde fuera. Destaca también la escasez de información pública sobre los ciberataques en las centrales. De hecho, el informe ha tenido que mantener confidenciales los nombres de los expertos consultados para obtener su testimonio.
Irán y Rusia
Frente a los casos de Reino Unido y Estados Unidos, las centrales de Irán y Rusia están totalmente desconectadas de la Red, pero esa separación no les ha evitado varios episodios de cibersabotaje. Un gusano informático, Stuxnet, se introdujo —probablemente a través de un pendrive— en dos centrales iraníes en 2010 y en una rusa, y logró infectar sus sistemas.
El informe alerta en especial de los riesgos de ciberseguridad fuera de los horarios normales de trabajo y, aunque no entra a detallar cuáles son las medidas necesarias, precave ante la falta de formación y de unos criterios generales de ciberseguridad para las centrales. “Existe una guía, que aplican los países que pertenecen a la Agencia Internacional de Energía Atómica (AIEA), pero es muy básica y, además, no es vinculante”, apunta Baylon.
El informe alerta en especial de los riesgos de ciberseguridad fuera de los horarios normales de trabajo y, aunque no entra a detallar cuáles son las medidas necesarias, precave ante la falta de formación y de unos criterios generales de ciberseguridad para las centrales. “Existe una guía, que aplican los países que pertenecen a la Agencia Internacional de Energía Atómica (AIEA), pero es muy básica y, además, no es vinculante”, apunta Baylon.
"Ahora es cuando [los gobiernos] empiezan a darse cuenta de los riesgos", apunta Baylon. Hasta junio de este año en Viena, la AIEA no había convocado nunca un gran encuentro internacional sobre ciberseguridad en estas instalaciones.
El informe no establece si existe un riesgo creciente de ciberataques a las centrales, pero constata un aumento de los incidentes en las redes de las empresas a las que suministran electricidad.
El primer ciberataque del que se tiene constancia, en 1992, llevó al Consejo Ruso de Seguridad a afirmar que podría haber acarreado "un desastre similar al de Chernóbil"
El Consejo de Seguridad Nuclear de España ha señalado a EL PAÍS que ningún sistema de las centrales españolas está conectado a Internet. No ha facilitado información de posibles ciberataques contra estas instalaciones.
Está pendiente de aprobación una directiva europea sobre Seguridad de las Redes e Información, que obligará a las grandes instalaciones a realizar análisis de riesgo precisos.
Para el Prof. Manel Medina, director del Equipo de Seguridad para la Coordinación de Emergencias en Redes Telemáticas de la Universidad Politécnica de Cataluña, este informe pone de manifiesto que "los propios administradores de estos servicios y sus directivos no son conscientes de los riesgos de un ciberataque podría tener para ellos". Medina señala que lo habitual es que este tipo de ataques se produzca de una forma "inconsciente", al infectarse con programas espía los dispositivos del personal que trabaja en esas instalaciones. Una vez conectados esos dispositivos al sistema de la central, lo contaminan y dan acceso a los programas maliciosos.
La directiva europea sobre Seguridad de las Redes e Información (más conocida como directiva NIS), pendiente de aprobación, obligará a que todas las grandes instalaciones pongan en marcha un análisis de riesgos muy detallados y precisos.
"Hay un enorme desconocimiento de en qué consisten los ciberataques a las centrales", apunta Caroline Baylon, "porque las centrales temen que se sepa demasiado sobre sus sistemas de seguridad. Sin embargo, esto impide también que los expertos puedan pensar en mejorar los mecanismos de protección".
Grandes ciberataques
El primer ataque informático conocido contra una central nuclear data de 1992. Ocurrió en Ignalina (Lituania). Un técnico introdujo un virus dentro del sistema de control de la central, supuestamente para llamar la atención de lo vulnerable que era. No tuvo consecuencias más allá de la detención del técnico, pero un alto representante del Consejo Ruso de Seguridad avanzó que la brecha de seguridad podría acarrear "un desastre similar al de Chernóbil".
En 2003, la central nuclear de David-Besse (Ohio, EE UU) sufrió la infección de un gusano Slammer, aprovechando una vulnerabilidad del software de la base de datos. El gusano infectó la red de la compañía eléctrica que operaba la central, First Energy Nuclear, que a su vez estaba conectada al sistema informático SCADA, que opera de manera remota la planta. El gusano consiguió bloquear durante cinco horas el sistema que recogía los datos de la refrigeración, los sensores de temperatura y los de radiación. Por suerte, el reactor no estaba operativo en aquel momento.
Aunque no puede considerarse un ciberataque, el informe incluye un incidente en 2006, una unidad de la planta de Browns Ferry (Alabama, EE UU) que tuvo que ser desconectada de manera manual para evitar la fusión. No se trató de un ciberataque, sino de un error del sistema informático en la red Ethernet (que distribuye los datos a los distintos elementos de una red). Una sobrecarga en el tráfico de datos hizo fallar las bombas de recirculación y otros dispositivos cruciales. Los hackers podrían haber aprovechado esa debilidad del sistema.
En 2008, la planta de Hatch (Georgia, EE UU) sufrió un parón general a causa de la mera actualización del ordenador de un ingeniero que estaba conectado a la red de control industrial de la planta. El sistema industrial interpretó el error como una falta de agua para refrigerar el núcleo del reactor y lo apagó.
Uno de los mayores incidentes hasta la fecha se produjo en 2010 en dos centrales nucleares iraníes (Bushehr y Natanz). Se vieron infectadas por un gusano informático, Stuxnet, probablemente introducido en sus sistemas a través de un simple pendrive. Este gusano burla Windows y se arroga privilegios de administrador. Si el sistema que infecta está conectado a un sistema SCADA, podría haber controlado indirectamente las centrifugadoras que se utilizan para enriquecer el uranio y hacer que girasen rápido hasta romperlas. El gusano engaña al sistema haciéndole creer que todo va bien. El mismo virus fue responsable de un incidente en Rusia en torno a 2010, hecho público por el dueño de la empresa antivirus Kaspersky Lab, Eugene Kaspersky, aunque el nombre de la planta nuclear no trascendió.
El último gran ciberataque conocido tuvo lugar en 2014. Unoshackers robaron datos de la red comercial de Korea Hydro and Nuclear Power, la empresa que opera 23 centrales,a través de emails con phishing dirigidos a los empleados. Los piratas obtuvieron así los manuales y los proyectos de dos centrales, los planos de distribución eléctrica, los datos de unos 10.000 empleados y los cálculos de exposición a la radiación de las poblaciones cercanas, y los difundieron en Twitter. Luego, amenazaron con un rotundo mensaje —"destrucción"— a la compañía si no paraba tres centrales, a lo que el gobierno coreano se negó. Tras el incidente, han seguido extorsionando a la compañía este año. En marzo de 2015, volvieron a amenazar a la compañía si no les daba dinero. El gobierno de Corea de Sur culpó directamente a Corea del Norte de los ataques.
No hay comentarios:
Publicar un comentario