Hackers 'irracionales' aumentan el temor por la seguridad en EU

Estados Unidos ? El investigador de ciberseguridad HD Moore descubrió que podía usar Internet para acceder al control de unos 30 censores de oleoductos de todo el país que no estaban protegidos con contraseñas.

Experto en pirateo informático que ayuda a las compañías a descubrir debilidades en los sistemas, Moore dijo que encontró los sensores el mes pasado mientras analizaba información en enormes bases de datos públicas de dispositivos conectados a Internet.

"Sabemos que los sistemas están expuestos y son vulnerables. No sabemos el impacto que podría tener si alguien intenta aprovecharlo de verdad", dijo Moore, jefe de investigación de la firma de seguridad Rapid7.

Los expertos en seguridad nacional de Estados Unidos solían pensar tranquilamente que los superpoderes "racionales" como China o Rusia eran sus mayores adversarios en el ciberespacio. Estos países podrían tener la capacidad de destruir infraestructuras clave en Estados Unidos con un solo un clic de ratón, pero es improbable que lo hagan, en parte porque temen que Washington pueda contraatacar.

Sin embargo, ahora crece el temor a que los actores "irracionales" - como los grupos extremistas o activistas individuales- estén infiltrándose en los sistemas estadounidenses en busca de vacíos de seguridad como el que descubrió Moore. Estos adversarios podrían no tener muchos recursos, pero como la bomba de Timothy McVeigh en un edificio del Gobierno federal en Oklahoma en 1995, el factor sorpresa es lo que preocupa.

El exsecretario estadounidense de Seguridad Interior, Michael Chertoff, dijo que estaba preocupado por el hecho que el primer ciberataque destructivo en suelo estadounidense se pueda parecer al del maratón de Boston en el sentido de que los sospechosos no estaban en el radar del Gobierno.

"Vas a tener ataques a una escala relativamente modesta con impacto por parte de toda clase de tipos - 'hactivistas', delincuentes, lo que sea", dijo Chertoff en una cumbre de Reuters sobre ciberseguridad celebrada la pasada semana. "¿Van a apuntar a infraestructuras clave? Podría ser".

Entre los actores emergentes en el ciberespacio que generan más preocupación a los expertos en seguridad está Irán, del que se cree que está tras los asaltos a sitios web estadounidenses de bancos y de un ataque a unos 30.000 ordenadores de la compañía petrolera nacional de Arabia Saudí el pasado año.

Corea del Norte también tiene cada vez más aptitudes en el terreno, según los expertos, después de que los hackers tumbaran tres televisiones surcoreanas y dos grandes bancos en marzo.

Otro actor emergente es el Ejército Electrónico Sirio, un grupo de activistas que ha reivindicado la responsabilidad de hackear cuentas de Twitter de grandes medios de comunicación occidentales, como la de Associated Press el mes pasado, cuando sus hackers enviaron un tuit falso sobre explosiones en la Casa Blanca que hicieron que las bolsas se hundieran brevemente.

ATAQUES CONSTANTES

La red de energía estadounidense es el objetivo diario de los ciberataques, según un informe del congresista de California Henry Waxman y del de Massachusetts Ed Markey publicado en el Comité de Energía y Comercio del martes.

Más de doce empresas de energía alertan al día sobre intentos de ataques constantes o frecuentes que van desde la investigación no deseada a la infección con software malicioso, según el informe.

Gerry Cauley, consejero delegado de North American Electric Reliability Corp (NERC), dijo en la cumbre de Reuters que se habían encontrado virus informáticos en la red de energía que podrían utilizarse para provocar daños en las plantas. NERC es una agencia sin ánimo de lucro que supervisa y asegura la confiabilidad del sistema de energía de esa región.

Los expertos dicen que con tantos hackers sin identificar tratando de introducirse en los sistemas de control industrial de Estados Unidos, temen que alguien en algún momento - quizás un amateur - cause daño de forma intencionada o no intencionada a los generadores de electricidad, plantas químicas, presas u otras infraestructuras.

"Incluso si no sabes realmente cómo funcionan las cosas, todavía puedes provocar el caos destruyendo algún aparato", dijo Rubén Santamarta, un consultor senior de IOActive. "Probablemente a corto plazo nos enfrentemos a un incidente de este tipo, en el que los atacantes ni siquiera sepan lo que están haciendo", dijo.

Santamarta ha identificado cientos de sistemas de control de a través de Internet - en instalaciones de la red eléctrica y de tratamiento de aguas o sistemas de calefacción y ventilación de edificios como hospitales. También ha descubierto fallos en equipos de control industrial.

El equipo de respuesta de ciberemergencias del departamento de Seguridad Interior estadounidense (ICS-CERT, por sus siglas en inglés), advirtió la semana pasada de un fallo que Santamarta encontró en equipamiento de la alemana TURCK, que usan fabricantes y agricultores en Estados Unidos, Europa y Asia.

La agencia dijo que unos atacantes con pocas capacidades podrían aprovecharse del fallo, paralizando remotamente procesos industriales. Aconsejó a los clientes instalar un parche que los protegería frente a tales ataques.

El director de Inteligencia Nacional James Clapper dijo en un comité del Senado en marzo que "los actores menos avanzados pero altamente motivados" podrían acceder a algunos sistemas de control poco protegidos. Podrían causar daños "significativos", advirtió, debido a configuraciones inesperadas de sistemas o errores.

'CUESTIÓN DE TIEMPO'

El ICS-CERT publica cada año en su web decenas de alertas y avisos sobre vulnerabilidades en sistemas de control industrial. Entre las compañías cuyos productos son mencionados están General Electric, Honeywell International, Rockwell Automation, Schneider Electric SA o Siemens AG.

Dale Peterson, consejero delegado de seguridad de sistemas de control de Digital Bond, dijo que los sistemas de control de infraestructuras son muy vulnerables a los ciberataques porque los diseñadores no tienen en cuenta la seguridad cuando desarrollan la tecnología.

Aunque los hackers todavía no han lanzado un ataque contra infraestructuras estadounidenses, muchos tienen la capacidad de hacerlo. "Diría que sólo es porque nadie ha querido hacerlo", dijo Peterson, que comenzó su carrera como decodificador en la Agencia Nacional de Seguridad de Estados Unidos.

Mike Rogers, presidente del comité parlamentario de Inteligencia, dijo que los terroristas están entre los grupos que buscan tener la capacidad de lanzar un ciberataque a infraestructuras estadounidenses, pero que cree que todavía no tienen esa capacidad.

"Tener a la persona correcta con la capacidad correcta comprometido con esto es un factor que cambia el juego", dijo Rogers en la cumbre. "Mi preocupación es que sea solo cuestión de tiempo", dijo.

Eric Cornelius, un exfuncionario del ICS-CERT, dijo que los operadores en sectores críticos, entre los que se incluyen la energía, el agua, el petróleo y el gas, a veces no cumplen las recomendaciones de los fabricantes de equipamiento y software de forma adecuada porque necesitan apagar las plantas para hacerlo y no se lo pueden permitir.

Algunas plantas carecen de suficiente personal de seguridad y de tecnología para proteger las redes porque no tienen fondos adecuados, dijo Cornelius, director de infraestructuras clave de Cylance.

Un hacker relativamente poco sofisticado cuya meta sea investigar una red puede dañar intencionadamente un sistema porque las redes más antiguas son frágiles y muy sensibles, dijo.

"Eso hace inseguros estos sistemas de control", dijo.