Llegamos a ustedes gracias a:



Reportajes y análisis

¿La infraestructura crítica es el próximo blanco de los DDoS?

[02/01/2017] El ataque masivo de Denegación Distribuida de Servicio (DDoS) dirigido a Dyn, el proveedor de Sistema de Nombres de Dominio (DNS, por sus siglas en inglés) con sede en New Hampshire, fue más que nada una inconveniencia.

Aunque inhabilitó una parte de Internet durante muchas horas, interrumpió a docenas de páginas web importantes y fue reportado en las noticias nacionales, nadie murió. Hubo daño en términos financieros, pero nadie salió herido.

Pero el ataque, activado por una botnet de millones de dispositivos de la Internet de las cosas (IoT, por sus siglas en inglés), inevitablemente condujo a especulaciones sobre cuál sería el daño que ocasionaría un DDoS de esa escala, o mayor, inclusive a una parte de la infraestructura crítica (CI) de los países.

Claramente, podría ir mucho más allá de ser solo un inconveniente. Los negocios, hogares, servicios de emergencia, industria financiera y, sí, Internet, no pueden funcionar sin electricidad.

Eso ya ha sido demostrado en una escala relativamente pequeña. A principios de noviembre pasado, un ataque de DDoS deshabilitó la distribución de calefacción en dos propiedades en Lappeenranta, una ciudad al este de Finlandia.

La interrupción fue solo temporal, pero como resaltó un reportaje local, con temperaturas heladas bajo cero, "una interrupción prolongada de la calefacción causaría daño material y la necesidad de trasladar a los residentes a otro lugar.

Asimismo, en un artículo reciente titulado "IoT se vuelve Nuclear: Crear una Reacción en Cadena ZigBee, los investigadores reportaron que ellos pudieron demostrar, usando bombillas de luz inteligentes Hue de Phillips, "un nuevo tipo de amenaza en la cual los dispositivos IoT adyacentes se infectan unos a otros con un malware autónomo que se replica y esparce explosivamente a lo largo de áreas extensas, de manera similar a una reacción nuclear en cadena....

Utilizando la conectividad inalámbrica ZigBee de las bombillas, los investigadores señalan que el ataque "puede empezar al conectar una sola bombilla infectada en cualquier lugar de la ciudad, y después la infección se esparce a todos lados en minutos, permitiéndole al atacante apagar o prender todas las luces de la ciudad, bloquearlas permanentemente, o explotarlas como en un ataque masivo de DDoS.

Si ese tipo de ataque también pudiese ser utilizado para deshabilitar la calefacción, el agua, desagüe, control de tráfico y otros servicios básicos durante cierto tiempo, el riesgo de daño físico crecería rápidamente.

Cómo lo describió en una publicación el bloguero sobre seguridad, autor y CTO de Resilient Systems, Bruce Schneier, "las fallas de seguridad en estas cosas podrían significar la muerte de personas y la destrucción de propiedad".

Pero, ¿podría un ataque de DDoS realmente causar una interrupción a largo plazo de los Sistemas de Control Industrial (ICS, por sus siglas en inglés), que operan o monitorean gran parte de la Infraestructura Crítica?

Los expertos tienen perspectivas mixtas respecto a este tema. Algunos dicen que los Sistemas de Control Industrial son lo suficientemente distintos a la IoT de los consumidores como para ser vulnerables a un ataque de DDoS; mientras que otros dicen que dichos sistemas de hecho están lo suficientemente conectados como para considerarse como componentes de la IoT.

Los ataques de DDoS no son nada nuevo -han existido por décadas y no se les considera sofisticados. Funcionan sobrecargando páginas web y otros sistemas conectados a Internet con tráfico basura que impide que el tráfico legítimo circule, y también pueden causar que el sitio colapse.

Lo que hizo al ataque de Dyn relativamente nuevo fue su uso de millones de dispositivos "zombis de IoT como cámaras "inteligentes, grabadoras de video digitales, etc. No ocurrió mediante computadoras. La escala del ataque, de 1,2Tbps, no se había visto nunca sino hasta el año pasado. Ahora se ha vuelto la norma, y se espera que esta escala crezca rápidamente.

Mientras tanto, la Infraestructura Crítica del país permanece notablemente insegura. A comienzos de este año, el FBI y el Departamento de Seguridad Nacional (DHS, por sus siglas en inglés) lanzaron una campaña para advertir a las empresas de servicios públicos y a los ciudadanos sobre el peligro de los ataques cibernéticos, como el que ocurrió en diciembre del año pasado, donde parte de la red de energía de Ucrania se vio afectada.

En setiembre de este año, en el Security of Things Forum en Cambridge, Massachusetts, un panel de expertos en seguridad concordaron en que los atacantes, probablemente de estados nacionales hostiles, posiblemente ya se encuentren dentro de Sistemas de Control Industrial del país.

En esta discusión, Paul Dant, jefe de estrategias y director de administración de Independent Security Evaluators, dijo que el aumento de ataques es inevitable. "Pensar que las cosas no son vulnerables es una completa falacia, afirmó.

Aun así, algunos en la industria señalan que los DDoS no son una amenaza directa para la Infraestructura Crítica principal, porque los Sistemas de Control Industrial no son parte de la IoT, de la misma manera en que los son los dispositivos de los consumidores. Ben Miller, director de Threat Operations Center en Dragos, dijo que, aunque "en apariencia los Sistemas de Control Industrial pueden ser similares a los dispositivos de IoT, "un controlador industrial con input proveniente de un termostato tiene un conglomerado tecnológico, uso, evolución y capacidad que difieren ampliamente del de un termostato ubicado en la pared de un consumidor.

"Los procesos de un sistema de control industrial generalmente no obtienen respaldo de servicios que se basan en Internet, anota.

Si millones de termostatos de la IoT en los hogares y en dispositivos inteligentes de red en edificios comerciales se ven afectados, y solicitan el máximo de aire acondicionado en un día donde existe un exceso de demanda en la red, ¿cuál sería el impacto?

Matt Devost, director gerente de Accenture y CEO de FusionX, lo ve de la misma manera. "El ataque de DDoS es más efectivo en blancos que inherentemente dependen de comunicaciones de Internet y donde el ambiente ICS/SCADA (Control de Supervisión y la Adquisición de Datos) simplemente no está diseñado para operar con ese tipo de dependencia, afirma.

De acuerdo a Gabe Gumbs, vicepresidente de estrategia de producto en Spirion, "la IoT debería ser estrictamente definida como los dispositivos conectados a consumidores. Mucha de la infraestructura crítica está conectada, pero no es tecnología de nivel de consumidor. Las compañías que son dueñas de cosas como sistemas SCADA invierten en asegurarlos, en completo contraste respecto al extremo final del espectro del consumidor.

Y Robert M. Lee, CEO de Dragos, sostiene que, aunque aún existen activos de los Sistemas de Control Industrial en Internet - "demasiados, para ser honesto- muchos de ellos no lo son. "Por su parte, estos dispositivos están formando una red de datos y puntos finales que es nueva y completa en estos lugares. Un ataque de DDoS no sería capaz de alterar significativamente a los sitios de infraestructura crítica en la comunidad de Sistemas de Control Industrial.

Pero Yoni Shohet, cofundador y CEO de SCADAfence dijo que los Sistemas de Control Industrial son, "definitivamente parte de la IoT, dado que la industria se está transformando de sistemas físicos a sistemas cibernéticos físicos. La conectividad entre ambientes industriales y redes externas se ha incrementado en los últimos años. Estos ambientes están expuestos más que nunca a los ataques externos.

Stewart Kantor, CEO de Full Spectrum, ha visto lo mismo. "Dado que estamos viendo cómo la infraestructura crítica está llevando a cabo iniciativas de automatización a través de comunicaciones en base al IP por medio de redes de datos celulares públicas, se está volviendo parte de la IoT más amplia que incorpora de igual manera a las tecnologías críticas para la misión y a las tecnologías de consumidor, afirma.

Sin embargo, no está completamente en desacuerdo con aquellos que afirman que los Sistemas de Control Industrial no son parte de la IoT, puesto que algunas empresas de servicios públicos se han desligado de la Internet pública mediante la creación de, "su propia IoT usando tecnología de radio definida por software sobre una red privada que pertenece y es operada exclusivamente por la empresa.

Kantor añade que existe un conjunto de compañías de servicio público de Estados Unidos, junto con organizaciones industriales de investigación y comercio como el Electric Power Research Institute y el Utilities Technology Council, "que están respaldando una enmienda al estándar existente de comunicaciones inalámbricas para abordar la confiabilidad, cobertura y preocupaciones de seguridad sobre las redes de infraestructura crítica o a lo que ellos llaman Field Area Networks (FANs).

Lee también señala que él ha visto un enfoque alentador sobre la seguridad. "He visto compañías de infraestructura crítica, como las de energía, que están extremadamente bien preparadas y podrían haber detectado amenazas dirigidas que han intentado irrumpir en sus organizaciones.

"Como comunidad, necesitamos asegurar que esto no constituya el 5% de la comunidad y que esté algo más propagado. Pero existen grandes éxitos, anota.

Miller afirmó que existen "serias iniciativas realizándose para mejorar la seguridad de los Sistemas de Control Industriales. "En el 2014, el Departamento de Energía de Estados Unidos publicó una guía para los sistemas de entrega de energía, y US ICS-CERT publicó una guía similar para la obtención de los Sistemas de Control Industrial en el 2009.

Pero reconoció que los proveedores de equipo para Sistemas de Control Industrial se encuentran vendiendo en un mercado global, donde las presiones de seguridad no son tan grandes como en Estados Unidos. Y, como ha sido extensamente reportado, generadores grandes y otro equipo de los ICS que pueden costar precios de seis dígitos, no pueden ser reacondicionados con seguridad y están destinados a durar por más de 25 años. "La realidad es que la industria de los ICS tiene mucho por recorrer, afirma.

Gumbs estuvo de acuerdo. "La seguridad no siempre ha sido vista como prioridad, dijo. "Ellos no tienen las habilidades para defenderse de los atacantes. Ellos no tienen la habilidad para contratar o retener talento.

"Detectar un ataque sofisticado no es algo insignificante y requiere tener listas una cantidad grande de personas, habilidades y tecnologías para defenderse de ellos. Debido a que la industria recién está comenzando a dar prioridad a la seguridad, va a tomar algo de tiempo antes de que ésta pueda proporcionar una defensa formidable en contra de los ataques cibernéticos sofisticados.

La seguridad nunca ha sido vista como una prioridad

Gumbs afirma que piensa que la Infraestructura Crítica en Estados Unidos es lo suficientemente resistente como para responder a tal ataque sin una alteración catastrófica.

"Un ataque cibernético en la escala a la que nos referimos podría compararse, quizás, a un desastre natural, señala, "y hemos demostrado que somos bastante resistentes cuando nos enfrentamos a huracanes, inundaciones, terremotos y más.

Afirma que un colapso del sistema financiero sería peor. "Esto debilitaría la confianza que tenemos en ir hacia un cajero automático para retirar efectivo, inclusive para pagar por provisiones, si es que estuviésemos en un desastre real.

Kantor indica que él cree que la mayoría de las organizaciones de servicios públicos se toman muy en serio la seguridad. Pero reconoce que "debido al tamaño y alcance de la industria de servicios de electricidad públicos -existen más de tres mil organizaciones de electricidad a lo largo de tres millones de millas cuadradas- existen muchas áreas de vulnerabilidad.

"Infiltrarse en la infraestructura crítica de comunicaciones es la manera más sencilla y anónima de causar una gran conmoción. Hoy nos enfrentamos a un mundo en donde los hackers se están volviendo más inteligentes y sus comunidades existen en lugares donde se comparte el conocimiento y los avances sobre los DDoS.

Entonces, bajar el nivel de amenaza de un ataque de DDoS en contra de las organizaciones de servicio público u otra Infraestructura crítica requiere una mejora en la seguridad de la IoT. Y algunos expertos afirman que el mercado no lo hará -que se requerirá de un impulso por parte del gobierno.

Schneier, en su publicación más reciente, afirma que existe "una falla de mercado en ciernes cuando se trata de la seguridad de la IoT, porque ni a los vendedores ni a los compradores de dispositivos les importa en realidad.

"Es una forma de contaminación invisible, escriben, "y, como tal, la única solución es crear regulaciones, con elementos como estándares mínimos de seguridad o facilitar las demandas en contra de los fabricantes si es que sus productos son utilizados en ataques de DDoS.

"Se va a tener que analizar los detalles con cuidado, pero cualquiera de estas dos opciones aumentaría el costo de la inseguridad e incentivaría a las compañías a gastar dinero haciendo que sus dispositivos sean seguros, señalan.

Eso podría estar en camino pronto. Los representantes Frank Pallone Jr. (demócrata de Nueva Jersey) y Jan Schakowsky (demócrata de Illinois) escribieron una carta a la presidenta de la Comisión Federal de Comercio, Edith Ramírez, el 3 de noviembre. En dicha carta, se "insta a la agencia a "utilizar todas las herramientas a su disposición para asegurar que los fabricantes de dispositivos de IoT implementen medidas fuertes de seguridad para proteger de la mejor manera posible a los consumidores de los ataques cibernéticos.