En la actualidad, la ejecución de los ciberataques puede escalar más allá del robo, exposición, alteración o destrucción de información de personas, empresas y gobiernos, para convertirse en un movimiento coordinado, masivo y capaz de vulnerar instalaciones de todas las industrias. De unos años para acá hemos detectado vulnerabilidades que cuentan con una nueva dimensión de daño, enfocada en afectar infraestructuras y activos físicos con el objetivo de poner en peligro la integridad de las personas y de las economías.
Este fenómeno se trata de los ataques ciberfísicos, que son realizados a través de un software malicioso capaz de sabotear procesos físicos industriales o de generar daños en infraestructuras que tienen algún tipo de conexión con sistemas informáticos. Aunque no son nuevos (el primero ocurrió en 2010), este tipo de ataques, en su conjunto, comienzan a crear tendencias clave que deben ser tomadas seriamente para robustecer las medidas de seguridad, comprendiendo los posibles alcances de su peligro.
A la fecha, se han registrado seis ocasiones en las que un malware pudo ocasionar daños físicos. Si bien cada uno de los Seis Ciberfísicos, como los denominamos en Honeywell, ha logrado causar afectaciones a instalaciones, estos difieren entre sí por su utilización, adaptabilidad y precisión, tal y como lo muestra nuestro estudio: Los Seis Ciberfísicos, Cómo han evolucionado los ataques industriales dirigidos y una predicción de lo que está por venir. Sin embargo, para poder comprender a profundidad las tendencias, es necesario conocer las características de cada uno de los casos conocidos:
- Stuxnet. En 2010, este gusano informático de complejidad sin precedentes sorprendió por su capacidad para adaptarse y esparcirse rápidamente, analizando cada elemento infectado hasta reconocer el software específico que debía atacar. Este malware no requirió de guía externa y logró manipular el comportamiento de centrifugadoras de una planta nuclear en Irán.
- Black Energy. Fue en 2015 cuando este ataque ciberfísico demostró cómo múltiples objetivos industriales podían ser vulnerables y utilizados al mismo tiempo para desactivar los sistemas de control y generar apagones en Ucrania.
- Industroyer. Solo un año después (2016), el sistema de energía eléctrica en Ucrania fue atacado nuevamente, lo que demostró que un malware puede ser capaz de controlar directamente interruptores de subestaciones eléctricas y disyuntores.
- Trisis. En 2017, la capacidad de estos ataques alcanzó un nuevo nivel de amenaza al afectar a los sistemas de control de seguridad industrial encargados de proteger la vida humana en una planta petroquímica en Arabia Saudita.
- Industroyer 2. En 2022 la energía eléctrica de Ucrania fue el objetivo por tercera vez.
- Incontroller. En el mismo año se identificó este malware diseñado para interrumpir y manipular procesos industriales.
Habiendo establecido los puntos principales de los Seis Ciberfísicos, se pueden apreciar ciertas tendencias:
• EVOLUCIÓN. Tanto Black Energy, como Industroyer e Industroyer 2 tienen algo en común: el sistema eléctrico ucraniano, lo que revela la capacidad de evolución que puede alcanzar una campaña de ataque contra un blanco determinado. Iniciada con el desarrollo de la capacidad para interrumpir la distribución energética, esta serie de ataques alcanzó mayor precisión al centrarse, en una segunda fase, en la obtención de información referente a objetivos más precisos para, finalmente, actuar de manera más simple y ágil, según información del reporte sobre los Seis Ciberfísicos, elaborado por Honeywell.
• VECTORES DE ATAQUE. En el ámbito industrial existen dos vectores de ataque principales: la red de comunicaciones y medios extraíbles. Concretamente, las memorias USB se siguen considerando un vector eficaz. De hecho, una investigación de amenazas USB realizada por Honeywell entre 2019 y 2023 reveló que la mitad de los softwares maliciosos hallados en medios extraíbles estaban diseñados para esparcirse a través de este tipo de memorias.
• AMPLIACIÓN DE CAPACIDADES. Cada nuevo “ciberfísico” ha logrado aumentar la capacidad de amenaza hacia objetivos materiales. De acuerdo con el reporte Los Seis Ciberfísicos, Cómo han evolucionado los ataques industriales dirigidos y una predicción de lo que está por venir, la manipulación de operaciones industriales permite controlar una variedad cada vez mayor de dispositivos, ya que las amenazas ciberfísicas tienen capacidades configurables debido a marcos modulares.
• FRECUENCIA DE LOS ATAQUES. Entre Stuxnet y Black Energy hubo un periodo de cinco años de distancia, mientras que los dos siguientes ciberfísicos ocurrieron en 2016 y 2017, con Trisis, tras lo que sucedió un lapso de menos de cinco años para que llegaran los últimos dos golpes, casi al mismo tiempo, en 2022. Si esta tendencia se mantiene, advierte el estudio sobre los Seis Ciberfísicos, podríamos esperar, antes de un periodo de calma de tres o cuatro años, ataques ciberfísicos inminentes.
Ante estas amenazas, resulta crucial que organizaciones, instituciones y gobiernos mantengan la seguridad en este ámbito con la mayor actualización posible, lo que no solo requiere de vanguardia tecnológica sino también de cibercapacitación a los empleados y conocimiento sobre las tendencias y técnicas que cada año definen al mundo cibernético.
En este sentido, es importante mantener una seguridad mucho más robusta en la información de interés para los atacantes, como datos comerciales o copias de seguridad del sistema digital que puedan revelar la arquitectura sobre el control de procesos.
Para finalizar, es vital tener siempre presente que los procesos de control industrial son vulnerables a los ataques, sí, pero también a una mala operación que pueda poner en riesgo una seguridad digital integral ya instalada.
