A incios de febrero 2021, las autoridades de Oldsmar, Florida anunciaron que su planta de tratamiento de aguas había sido víctima de un ciber ataque. De acuerdo con su explicación, el operador de la planta notó cómo el mouse de su computadora se movía sólo y cambiaba la cantidad de hidróxido de sodio en el agua de 100 a 11,100 partes por millón. ¿Qué miedo no?
Como primera impresión el ataque resulta alarmante dado que un cambio tan notorio en la calidad del agua puede resultar letal si alguien la bebiera. Sin embargo, el incidente no causó daño alguno ya que el operador corrigió el cambio inmediatamente.
El hecho de que un ciber ataque pueda modificar procesos físicos resulta preocupante. Pero les tengo buenas noticias, este ataque por suerte fue bastante sencillo y es poco probable que hubiera podido dañar a nadie. Vamos a analizarlo paso por paso.
Para más detalles sobre el incidente, cito el artículo publicado por The New York Times. (Ya se, The New York Times escribió mal mi apellido. Pero aún así los quiero :3)
¿Cómo Sucedió el Ataque?
Históricamente, las plantas industriales o de infraestructura crítica tenían redes totalmente aisladas de otras redes externas. Sin embargo, esto ha ido cambiando a lo largo de los años. Hoy en día los controladores industriales y otro equipo que soporta procesos de producción físicos se encuentran interconectados con computadoras y distintos componentes de software. A veces estos sistemas se encuentran separados rigorosamente, pero a veces quedan expuestos a redes externas, como Internet.
La siguiente imagen muestra un ejemplo de un panel que un operador podría usar para controlar procesos de tratamiento de aguas. (Aclaro, la imagen es solo un diseño de una biblioteca abierta, no pertenece a una organización real).
En el caso de la planta de aguas de Oldsmar, los operadores cometieron un error común. Dejaron expuesta su infraestructura en Internet. Específicamente, un servicio conocido como TeamViewer que es usado para el control remoto de servicios.
El atacante muy probablemente encontró este servicio expuesto en línea y lo utilizó para acceder al panel donde se podía modificar la calidad de agua. Una vez con acceso, usar uno de estos paneles es muy intuitivo. Es muy probable que el actor haya encontrado la infraestructura de Oldsmar utilizando servicios comunes para encontrar objetos conectados a Internet como Shodan o Censys.
Solo para mostrar mi punto, decidí hacer un pequeñísimo experimento. Utilizando Shodan hice un par de búsquedas y encontré que tan solo en México actualmente es posible encontrar ~5.4 millones de dispositivos u objetos expuestos vía internet. En tan solo unos minutos encontré cámaras, dispositivos para automatizar edificios, y tanques para almacenar y distribuir gasolina, entre otras cosas. Además, con una pequeña modificación en mi búsqueda, encontré que ~1.3 millones de estos dispositivos son accesibles sin contraseña.
Explicar más a fondo cómo encontrar objetos en línea utilizando fuentes abiertas de inteligencia no es el propósito de este blog. Sin embargo, pueden aprender más sobre estos recursos en mi ponencia de VirusBulletin 2019.
¡Si encuentran algo interesante expuesto avísenme por favor! ¡Podríamos ayudar a prevenir el próximo ataque!
¿El ataque pudo haber causado muertes?
Lamento ser aguafiestas, pero. Depende.
En el caso de ataques ciber físicos, existen varias cuestiones que tomar en cuenta para determinar si un ataque resulta una amenaza inminente o no. Esto se debe a que atacar sistemas industriales o infraestructura crítica no son papas fritas.
Normalmente, ingenieros especializados se encargan de construir este tipo de instalaciones teniendo en mente el prevenir accidentes o ataques. Esto include varios tipos de controles de seguridad a nivel administrativo, físico y cibernético. Por lo tanto, modificar un proceso productivo con un ciber ataque normalmente requiere de mucha planeación y conocimiento sobre la cadena de producción de la víctima.
Utilizando una aproximación multidisciplinaria, vamos a analizar cuáles pudieron ser las implicaciones del ataque:
Ciber seguridad: Riesgo Bajo
Como expliqué anteriormente, el ataque de Oldsmar fue aparentemente muy sencillo. El atacante únicamente tuvo acceso al panel del operador, pero no mostró la capacidad o el interés de permanecer escondido y descifrar otros controles de seguridad que protegieran a usuarios de modificaciones en el proceso físico.
Un actor más experimentado, con más recursos, o con un interés particular en generar daño a individuos hubiera buscado hacer modificaciones menos obvias en el proceso y engañar al operador modificando los valores en la pantalla. Esto hubiera podido resultar en que el operador no supiera que habían cambios en la calidad del agua, o lo hubiera podido forzar a tomar una acción errónea al observar valores que no correspondían con la realidad del proceso físico.
Poniendo esto en contexto, todo aparenta que los actores detrás de este ataque tenían fines oportunistas y se encontraban lejos de conocer el proceso lo suficiente como para poder generar un ataque que dañara a los usuarios. Sin embargo, el ataque resulta de cualquier modo preocupante ya que muestra el reto que enfrentamos de mantener protegidos sistemas de comunicación remota utilizados en procesos físicos. Idealmente, no deberíamos poder acceder a plantas de tratamiento de aguas desde internet.
Ingeniería: Riesgo Bajo
Las instalaciones de procesos industriales son creadas por ingenieros que establecen varios controles de seguridad a través del proceso. Por lo tanto, a pesar de que el atacante logró saltar la barrera de entrada, esto no significa que el proceso estuviera en peligro. Otros controles de seguridad - como sensores de calidad de agua o ingenieros realizando pruebas de calidad en persona - hubieran muy probablemente descubierto la modificación antes de que el agua contaminada llegara al hogar de los usuarios.
Sin embargo, existe un punto que me pareció muy interesante en un blog publicado por Jake Brodsky. Más allá de los controles de seguridad en el proceso físico, este ataque debe recordarnos sobre la importancia de diseñar tecnología con la seguridad de los usuarios en mente.
En este caso, resulta absurdo que el panel de control permitiera a un usuario de una planta de tratamiento de aguas elegir un valor once veces por encima del hidróxido de sodio aceptado para el consumo humano. En el momento en que el atacante intentó modificar la calidad del agua de modo tan radical, el sistema debería haber regresado a un nivel óptimo y requerido de algún control adicional como una segunda autenticación antes de entrar en un estado potencialmente dañino.
Química: Riesgo Alto
En tercer lugar, podemos analizar el incidente desde una perspectiva química. Para esto conseguí el apoyo de Patty Zafra, profesora de química en la Universidad Nacional Autónoma de México (UNAM).
Inspirada por el incidente, la profesora decidió (sin presión alguna por supuesto) diseñar un ejercicio para sus alumnos. En su ejercicio, ella les pide investigar cuál es el posible resultado de las acciones del atacante. Es decir, qué sucede cuando el actor cambia la cantidad de hidróxido de sodio en el agua de 100 a 11,100 partes por millón.
Respondiendo a esta pregunta, lo primero que resalta es que el pH del agua saliendo de la planta debe estar entre 6.5 y 9.5 unidades. Si el nivel del pH sale de estos niveles, el agua puede resultar corrosiva y dañar las tuberías o afectar la salud de los usuarios. Todo depende de qué tan grande sea la modificación.
Después de una serie de cálculos maravillosos, la profesora descubre que la modificación en el agua durante el incidente resultaría, teóricamente, en un nivel de pH equivalente a 13.44 unidades. En otras palabras, un individuo que bebiera esta agua sufriría de quemaduras en los tejidos del tubo digestivo superior y posibles perforaciones en el esófago y el estómago. (Si quieren tener pesadillas pueden buscar el resto de los síntomas en Google.)
Tal parece que al atacante se le pasó un poquito la mano. Hubiera sido posible generar un gran impacto aún con una modificación mucho menor en la calidad del agua. Un atacante mejor calificado y con intenciones de dañar a los usuarios hubiera investigado cuál era la menor modificación posible para alcanzar su meta y pasar desapercibido.
En fin, el punto es que las clases de química en preparatoria sí servían para algo. ¿Quién lo diría?
¿Puede pasar esto en México y América Latina?
Desafortunadamente sí. Con cada vez más frecuencia observamos que atacantes con pocos recursos o poco sofisticados utilizan herramientas a la mano para acceder a sistemas y dispositivos de organizaciones industriales. Esto se debe por un lado al incremento en el uso de tecnologías digitales para manejar procesos físicos de modo remoto, y por el otro a que la información sobre este tipo de sistemas es cada vez más fácil de encontrar.
La mala noticia es que es probable que haya muchas organizaciones en América Latina vulnerables a este tipo de ataques. Es más, el tema todavía ni siquiera está en nuestra agenda. La buena noticia es que apesar de ello, generar un impacto físico es aún bastante complejo y por lo tanto es poco probable que dichos ataques resulten en destrucción al menos en el corto plazo.
Por el momento, lo que es importante es que estemos al tanto del reto que enfrentamos. Esto es particularmente relevante considerando el interés de los mercados en intensificar el uso de tecnologías digitales para eficientar procesos físicos. Aquello que solemos llamar "Industria 4.0" para que suene prometedor. Por un lado esta estrategia promete enormes beneficios en productividad, pero por el otro puede resultar bastante problemático si no nos preparamos primero para mantener seguros nuestros sistemas ciber físicos.
Algunas otras fuentes
INCIBE (Español)
Además algunas recomendaciones de mejores prácticas en seguridad para plantas de tratamiento y distribución de agua:
Comments