Probable protagonista de los ciberataques contra Venezuela: software mailicioso Duqu 2.0
De acuerdo a comunidades de especialistas en el área de ciber seguridad, Duqu 2.0 fue probablemente identificado como responsable de los apagones actuales en Venezuela gracias a la colaboración de especialistas rusos que llegaron al país recientemente. Todavía no es información oficial.
Ciberguerra contra Irán
En el año 2010, un ataque informático logró retrasar por dos años el programa nuclear pacífico de Irán. Un virus denominado Stuxnet tomó el control de 1000 centrifugadoras necesarias para purificar y enriquecer el uranio para convertirlo en combustible nuclear. Logró destruir totalmente un 20% de ellas. Por primera vez un virus lograba un impacto real y de envergadura en una infraestructura industrial estratégica.
Cuando se presentaron las manifestaciones del ataque informático, los especialistas iraníes no pudieron ni sospecharlo. Era lógico, la central nuclear de Natanz, se encuentra a 250 kilómetros al sur de Teherán, aislada, con acceso restringido y con algunas de sus instalaciones diseñadas para soportar posibles ataques militares.
Al principio las centrifugadoras eran reemplazadas previo chequeo de los sistemas de control de las mismas. Existía total incertidumbre y se actuaba más bien por descarte. Stuxnet era tan novedoso que estaba programado para realizar ataques puntuales y esporádicos, todo esto para eliminar toda posibilidad de sospechas. Solo cinco meses después de las primeras manifestaciones, fue posible dar con la causa real.
Stuxnet fue concebido bajo preceptos bélicos, desarrollado por expertos en ciberguerra de Israel y EEUU, enemigos obvios de Irán. Las labores de inteligencia de estos dos países pudieron determinar que los Controladores Lógicos Programables (PLC) usados para controlar las centrifugadoras en Natanz eran del fabricante alemán Siemens. Lo que vendría después sería un daño profundo al orgullo de la ingeniería alemana.
Un PLC es un computador industrial programable para automatizar procesos industriales. Su arquitectura tiene similitudes a los ordenadores que se encuentran a la mano de cualquier persona: fuente de poder, CPU (Unidad Central de Procesamiento), módulos de comunicación y de entradas/salidas. La programación de control que se diseña para estos dispositivos se hará de acuerdo al proceso o procesos que se pretendan controlar. Para lograr el control de variables (temperatura, presión, flujo, nivel, revoluciones por minuto, entre otras) el PLC debe contar con un conjunto de instrumentos de campo (analógicos y/o digitales), los cuales se encargarán de censarlas. Dichas señales serán interpretadas por el PLC y este ejecutará las acciones de control respectivas para mantener los procesos en valores deseados y seguros de operación sin prácticamente la intervención humana. Igualmente, cumplen funciones de seguridad, es decir, si alguna variable no puede ser controlada, se ejecutan acciones en elementos finales de control (por ejemplo válvulas) para retornar a los límites de operación seguros, o disparos de protección para evitar catástrofes humanas y/o daños en los equipos industriales.
Los modelos exactos de PLC víctimas del ciber ataque en la central nuclear de Natanz fueron los Siemens S7-315 y S7-417. De acuerdo a los expertos, fueron dos variantes del virus Stuxnet, uno en forma de un archivo de configuración para el software de Siemens, y otra, aprovechando vulnerabilidades del sistema operativo Windows. Para las dos variantes, fue necesaria la cooperación voluntaria o no de personas ligadas al trabajo en Natanz, tomando en cuenta que dicha planta nuclear está conformada por una red industrial totalmente aislada de redes exteriores. Las dos versiones básicamente actuaban de la misma forma, aunque la segunda era más agresiva.
Los PLC envían mediante protocolos de comunicación de redes industriales toda la información a un centro de supervisión y control, siendo esta mostrada a los operadores de la planta quienes monitorean de forma constante los procesos. Estos sistemas se denominan SCADA (Supervisión, Control y Adquisición de Datos).
Stuxnet lograba que los PLC Siemens enviaran datos falsos de los sistemas inherentes a las centrifugadoras, es decir, los operadores visualizaban en los SCADA parámetros de operación ideales, pero la realidad era otra. Mientras tanto, las centrifugadoras iban de 120 rpm a 63 mil rpm en cuestión de minutos (y viceversa), causando fatiga y daños permanentes en sus componentes al alcanzar su valor nominal de operación (63 mil rpm) en tan poco tiempo. Aunado a esto, los sistemas de vapor que accionaban los rotores de las centrifugadoras vieron comprometidas sus válvulas de seguridad que aliviaban presión si los niveles eran críticos. Las sobrepresiones tuvieron un impacto mecánico sobre las centrifugadoras.
Luego de algunos meses, los especialistas pudieron detectar el virus Stuxnet como el responsable de la catástrofe industrial en Natanz. Fue oficialmente el primer acto de ciberguerra de la historia.
Variante de Duqu 2.0: fase Venezuela
De acuerdo a comunidades de especialistas en el área de ciber seguridad, Duqu 2.0 fue probablemente identificado como responsable de los apagones actuales en Venezuela gracias a la colaboración de especialistas rusos que llegaron al país recientemente. Todavía no es información oficial.
Duqu 2.0 es un derivado del virus Stuxnet. En el año 2015, Kaspersky Lab, compañía rusa internacional dedicada a la seguridad informática con sede en Moscú, descubrieron actividades inusuales en las redes de la empresa, características de un ataque cibernético masivo. Era el virus Duqu 2.0.
Si partimos de que Duqu 2.0 es una variante mejorada de Stuxnet, es muy fácil presumir que la forma de propagarlo en nuestros sistemas de control de generación, transmisión y distribución de carga fue novedosa.
Este tipo de virus ya se disemina a través de cualquier equipo conectado a una red informática, incluyendo memorias USB, computadores, PLC, impresoras, entre otros dispositivos. Bastaría un infiltrado para lograr penetrar por ejemplo, el cerebro electrónico de los sistemas que controlan, coordinan y sincronizan las turbinas del Complejo Hidroeléctrico de Guri.
Ya el difunto periodista Ricardo Durán lo advertía en el año 2011, cuando a través de una serie de trabajos periodísticos, dejó en evidencia un conjunto de situaciones que debieron prender las alarmas: ex trabajadores golpistas de PDVSA llegaron a formar parte de CORPOELEC y los sistemas de control, supervisión y seguridad de nuestro sistema eléctrico nacional eran de factura occidental, diseñados e implementados por empresas de EEUU y Canadá.
Tomando en cuenta estos descubrimientos, no les resultó para nada difícil a nuestros enemigos desentrañar nuestros sistemas electrónicos. Supieron rápidamente dónde y cómo golpearnos.
Los numerosos ataques a nuestro Sistema Eléctrico Nacional (SEN) denotan que han mantenido la misma filosofía en el diseño de las distintas variantes del virus: no buscan destrozar de una vez una instalación industrial, más bien lo hacen por fases para causar mayor daño y conmoción, evitando de esta forma que los especialistas tengan tiempo de enfocarse en las causas de las fallas. Un sistema infectado puede estar operando de forma óptima, fallar, y luego volver a la “normalidad” con las consiguientes consecuencias. Mientras tanto, los SCADA mostrando información totalmente distinta a la realidad.
Hasta ahora no existen detalles del mecanismo de ataque a nuestro SEN, pero la etapa de generación es la más crítica y probablemente la más golpeada. El control de una turbina conlleva gobernar un conjunto de sistemas y variables críticas: sistemas de lubricación, revoluciones por minuto, temperatura, vibración, presión, potencia generada.
Debió ser dramático para nuestros operadores del SEN visualizar en sus pantallas una situación distinta a la que ocurría en la realidad. Peor aún, es probable que Duqu 2.0 tuviera la misma característica que Stuxnet en lo que concierne al apagado de las máquinas desde sala de control: el virus lo imposibilita.
El ataque contra nuestro SEN sin duda alguna fue una de las etapas superiores de un plan mayor para el derrocamiento del gobierno de Venezuela. Ante el fracaso de estrategias previas como la criminal guerra económica, cerco diplomático, amenazas de invasión, intentos de violentar nuestras fronteras, desórdenes callejeros y pillaje financiero internacional, activaron la carta de la ciberguerra.
A diferencia de Irán, el ataque a Venezuela tiene repercusiones muchísimo mayores. Se ha afectado a la población de todo un país al negársele el derecho a un servicio eléctrico constante y confiable. Si en Irán se dio el primer acto de ciberguerra de la historia, Venezuela sufrió el primer acto de ciberguerra contra un sistema eléctrico nacional con impacto en millones de seres humanos.
¿Aprenderemos la lección?
Lo sucedido en Irán en el año 2010 no bastó para que nuestro país se preparara para enfrentar ataques informáticos a nuestras estratégicas infraestructuras industriales. No sólo nuestra industria eléctrica se encuentra amenazada. Venezuela aún cuenta con una industria petrolera altamente tecnificada, compleja y de gran envergadura. Nuestras plantas petroleras en su grandísima mayoría fueron diseñadas por empresas occidentales.
Alguna de ellas muy vulnerables al encontrarse en fase de obsolescencia tecnológica, operando bajo sistemas operativos, firmware y/o hardware desactualizados y sin ningún soporte por parte de fabricantes, todo esto consecuencias de la situación económica a la que nos han sometido. Por ejemplo, el sistema operativo WINDOWS XP sigue siendo el de mayor uso en PDVSA, el cual ya no cuenta con ningún soporte por parte de Microsoft para solucionar vulnerabilidades de seguridad.
Nuestra política de seguridad informática respecto a nuestras industrias y compañías estratégicas debe ser reformulada. Debe crearse una unidad de ciberseguridad bajo mando y control de nuestro poder ejecutivo, impulsar nuevamente el desarrollo de sistemas operativos propios como primer paso a ambiciosos programas de desarrollo de software.
Desarrollar un SCADA de factura nacional no será tarea fácil, llevará tiempo y mucha inversión en la preparación del recurso humano. La segmentación de nuestras redes industriales bajo políticas severas de administración de acuerdo a su nivel de criticidad es vital. Kaspersky Lab puede ser nuestro mejor aliado para empezar a dar los primeros pasos en implementar políticas de ciberseguridad.
Nos han golpeado muy fuerte, pero nuestros enemigos no tienen consciencia aún de nuestra capacidad de resistencia. Venceremos nuevamente