El mayor oleoducto de EEUU paralizado o la red de aguas de una ciudad envenenada: por qué son tan críticos los ataques a industrias que usan dispositivos IoT, según un experto español

Joe Biden ha declarado el estado de emergencia en EEUU tras registrar el mayor ciberataque de su historia contra uno de los mayores oleoductos del país.

Se trata de Colonial, responsable del suministro de buena parte del consumo de combustible de la costa este norteamericana, así como de cerca de 9.000 kilómetros de oleoductos.

La propia compañía reconoció haber sufrido un ciberataque el viernes por la noche, en su madrugada al sábado, razón por la cual habían suspendido sus operaciones. El incidente responde a un ataque con ransomware, con lo que un ciberdelincuente —o un colectivo de ellos— estaría reclamando el pago de un rescate a la firma si quiere recobrar la actividad.

El ransomware es un código malicioso que infecta diversos tipos de dispositivos y es capaz de propagarse a través de las redes corporativas. Así, lo que hace es ir cifrando archivos para hacer las máquinas inutilizables.

Aunque se desconoce si el ataque a Colonial ha afectado únicamente a su infraestructura informática, la incidencia sí revela la capacidad que tienen los ciberataques de impactar en el mundo físico. La dicotomía entre lo digital y lo físico se ha acabado para siempre.

"El Internet de las Cosas es casi como un tsunami", según una experta en ciberseguridad de Telefónica Tech que explica por qué es vital proteger ya los dispositivos conectados

El fin de esa dicotomía se explica, en buena medida, con el despliegue y el auge de los dispositivos IoT. El internet de las cosas supone que desde dispositivos del hogar (lavadoras, frigoríficos, cafeteras, aspiradoras) hasta de la industria (sensores, brazos robóticos, drones) están conectados, con lo que la superficie sobre la que atacar se ensancha.

Así intentaron envenenar el agua de toda una ciudad

En febrero, la ciudad de Oldsmar, en Florida, reconoció que una de sus plantas de agua que abastece a los vecinos había sido atacada. Un ciberdelincuente había conseguido acceder a los sistemas de la planta y alterar los niveles de químicos en el agua, con lo que durante unos minutos el abastecimiento pudo llegar a ser de agua envenenada. Afortunadamente, los sistemas de defensa reaccionaron rápido.

No era la primera vez que ocurría. A finales de marzo, el Departamento de Justicia estadounidense acusaba formalmente a un hombre de Kansas de haber intentado atacar a una planta de aguas de su ciudad.

Han pasado más de 10 años desde el gran ciberataque del gusano Stuxnet, un código malicioso que recorría la red y acabó impactando sobre las centrifugadoras que enriquecían el uranio en una planta de Irán. Las máquinas estaban prácticamente autodestruyéndose y los operarios no sabían por qué.

Aquel ciberataque fue el primer gran incidente informático que pudo tener consecuencias catastróficas en el mundo físico. Desde entonces, el nivel de riesgo y amenaza no para de aumentar.

Una cafetera que escupe agua hirviendo hasta que no pagues un rescate: este experimento demuestra los riesgos de ciberseguridad de los dispositivos IoT

¿Por qué los dispositivos conectados son tan vulnerables, más en entornos industriales? David Purón es el CEO de Barbara IoT, una startup española que diseña y desarrolla un firmware para dispositivos conectados más seguro que el que se incluye por defecto.

La industria estaba antes aislada y por eso era más segura

Purón explica que estos dispositivos son más vulnerables porque hasta ahora las infraestructuras críticas habían basado su seguridad en "la oscuridad". Las redes industriales nunca se habían conectado a internet. "Hasta ahora", matiza.

Como estas redes y dispositivos no estaban conectadas a la red de redes, "nunca habían tenido esa necesidad de seguridad". "Sus redes estaban totalmente aisladas. Una fábrica o una planta potabilizadora no estaba en internet", incide Purón en declaraciones a Business Insider España.

"Los dispositivos industriales, al haber estado siempre aislados, nunca habían puesto mucho cuidado en su ciberseguridad". Pero las cosas ya han cambiado.

A finales del año pasado Barbara levantó medio millón de euros en una ronda de financiación liderada por GoHub Ventures, el hub de inversión de Global Omnium —antigua Aguas de Valencia—. Precisamente el foco en la ciberseguridad para firmas de aguas es lo que captó la atención de la compañía, muy centrada en el deeptech, a apostar por la firma de Purón y sus socios.

En ese sentido, el CEO de Barbara IoT —cuyo nombre proviene de un famoso refrán, "nadie se acuerda de santa Bárbara hasta que truena"— es bastante claro. "Esto podría pasar en España y ya está pasando en España". "Hay veces que sale en prensa y hay veces que no", matiza.

"Al final, cuando hablamos del internet de las cosas, hablamos de dispositivos conectados. Antes, dispositivos de control de procesos industriales no estaban conectados y ahora sí lo están. En el caso del agua, hablamos de válvulas que pueden abrir o cerrar tuberías. En una planta potabilizadora, de dispositivos que controlan los procesos químicos".

El mantener estos dispositivos conectados a la red es "muy interesante", reconoce Purón, porque permite "agilizar y hacer más eficientes los procesos". Pero "a nivel de seguridad" es "un problema". "Cuando algo está conectado a internet, es susceptible de ser atacado desde cualquier parte del mundo".

6 clases de ciberamenazas a las que se enfrentan los dispositivos IoT que no estén bien protegidos en una industria, según la española Barbara IoT

En el caso de Colonial, una de las mayores redes de oleoductos de Estados Unidos, se plantea que el ataque podría provenir de un colectivo de ciberdelincuentes de Europa del Este.

Agua, gasística o farmacéutica: los sectores más críticos

A juicio de Purón, el agua es, junto precisamente la industria gasística o la farmacéutica, algunos de los sectores críticos más vulnerables a ciberataques que involucran a dispositivos IoT industriales. "Ponemos mucho énfasis en ellos porque los ciberataques pueden tener consecuencias no solo para la empresa, sino para toda la población".

En el sector farmacéutico, por ejemplo, Purón expone el caso de liofilizadores conectados. Máquinas que sirven para deshidratar mediante congelación componentes e ingredientes de fármacos que podrían verse afectados por un incidente informático. "Evidentemente, gracias a los procesos de calidad, esos fármacos no llegarían al mercado. Pero si se estropea uno de esos equipos se paraliza la producción. Imagínate que eso ocurriese con el desarrollo de vacunas contra el coronavirus".

De hecho, muchas farmacéuticas ya fueron objetos de ciberataques que fueron dirigidos incluso contra su capacidad logística para distribuir vacunas contra el COVID-19, así como acabaron robando documentos confidenciales depositados en la Agencia Europea del Medicamento.

Barbara considera que los firmware con los que funcionan muchos de estos dispositivos conectados son vulnerables. "Hay que proteger desde la raíz", apunta Purón. Aunque en torno al dispositivo haya una seguridad de perímetro, esta "nunca será suficiente" si se trata de un aparato vulnerable. Por eso Purón entiende que es indispensable que profesionales del sector TI tejan una alianza con la industria 4.0 para comenzar a defender y segurizar todo tipo de dispositivo.

De lo contrario, las de Colonial y las de las plantas de agua serán solo las primeras noticias de una ristra de incidentes cada vez más graves.