Ataques cibernéticos con efectos físicos

A lo largo de los meses de junio y julio de este año venimos asistiendo a diversas explosiones en Irán, seguidas en el tiempo y que han afectado a instalaciones tan sensibles como almacenes de misiles de del Cuerpo de la Guardia Revolucionaria Islámica (IRGC), complejos militares, plantas nucleares, plantas petroquímicas o centros de atención sanitaria. La posibilidad de que dichas explosiones sean en realidad ciberataques realizados por un país enemigo, concretamente Israel, ha generado varias dudas entre los analistas y expertos dedicados al seguimiento del contexto de seguridad y estratégico en esta región.

La ausencia de explicación hasta el momento por parte de Irán ha hecho que se especule de forma extensiva sobre el grado de certeza que podemos tener sobre que realmente Israel haya conseguido generar tales daños en infraestructuras iraníes, muchas probablemente consideradas críticas, a través de ciberataques. Este debate puede dividirse en dos cuestiones clave:

• En primer lugar, ¿es posible generar explosiones tan destructivas como las observadas en Irán a través de ciberataques?

• En segundo lugar, ¿cómo de seguros podemos estar de que todas estas explosiones registradas sean realmente obra de un ciberataque por parte de Israel o de otra potencia extranjera/grupo hostil?

La magnitud de los incidentes, así como el hecho de haberse producido en un espacio tan reducido de tiempo y sobre sectores de actividad de gran relevancia para la seguridad nacional de Irán vienen generando dudas razonables acerca de si podría realmente tratarse de ciberataques o si, por el contrario, existen explicaciones alternativas según cada caso.

Para arrojar algo de luz sobre este asunto, nos centraremos en tres aspectos clave:

• La ciberseguridad industrial y la protección de infraestructuras críticas desde este punto de vista

• La rivalidad de Irán e Israel en el ciberespacio

• Los accidentes industriales en Irán

La ciberseguridad industrial y la protección de infraestructuras críticas

En lo que respecta al primer interrogante, debemos comenzar haciendo referencia a un concepto clave a la hora de entender cómo funciona la protección de infraestructuras como las afectadas en Irán desde el punto de vista ciber: la diferencia entre tecnología de la información y tecnología de las operaciones, también conocidas como IT/TI y OT/TO.

Haciendo uso de las definiciones que presenta la empresa Oasys, podemos afirmar que:

“la Tecnología de la Información se caracteriza por la aplicación de equipos de telecomunicación como ordenadores para tratar datos (…) En cambio, la Tecnología de las Operaciones está dedicada a detectar o cambiar los procesos físicos a través de la monitorización y el control de dispositivos también físicos, como tuberías o válvulas”.

Si bien en la práctica resulta complicado hilar fino para poder distinguir qué sistemas y dispositivos se corresponden con cada uno de estos dominios, sí nos permite identificar que existen unos sistemas de uso especializado para el control y la detección de procesos industriales. Tradicionalmente, estos sistemas industriales no poseían conexión a Internet y tenían una arquitectura y unas características muy complejas y poco estandarizadas.

Todo ello hacía que, para que alguien consiguiera interferir en su funcionamiento, necesitara acceder físicamente al lugar donde se encuentra dicho sistema (dentro de la sala de control de la planta o fábrica, por ejemplo) y, una vez dentro, conocer el funcionamiento del mismo hasta el punto de poder forzar un sabotaje.

Así, la ausencia de conexión a Internet, así como la “seguridad por oscuridad” que le proporcionaba la falta de conocimiento generalizado sobre cómo funcionaban y estaban estructurados estos sistemas, vino aportándoles una garantía de seguridad extra que en la actualidad está perdiéndose.

Precisamente, esta pérdida de protección viene en primer lugar por la mayor estandarización de los equipos industriales. El volumen ingente de información al que tenemos acceso incluye, cada vez más, especificaciones técnicas de soluciones comerciales que emplean gran cantidad de empresas.

Esta disponibilidad de información ya permite que un atacante consiga estudiar los sistemas que emplea una empresa y buscar vulnerabilidades o planear cómo sabotearlos para que generen un daño específico. Sin embargo, pese a conocer al dedillo cómo funcionan y cómo sabotearlos, precisamos de un segundo factor para poder realizar el ciberataque de forma remota: una conexión con ellos. Si los sistemas no están conectados a Internet, o a una red en la que se encuentran dispositivos conectados, un atacante no conseguirá acceder a ellos de forma remota, debiendo acceder físicamente a las máquinas para poder sabotearlas.

Sin embargo, como ocurre frecuentemente en el ámbito de la seguridad, el aumento del riesgo no necesariamente hace que una decisión se descarte, y así hemos asistido durante los últimos años al surgimiento y auge de lo que se conoce como el “Internet industrial de las cosas”, una adaptación al ámbito industrial del concepto IoT o Internet de las Cosas que se basa en la creación de maquinaria industrial “inteligente”, es decir, conectada a internet y con sensores y capacidades que permiten optimizar procesos, prevenir averías y un sinfín de aplicaciones que mejoran la actividad industrial.

En sí, y pese a que posiblemente un dispositivo siempre estará más expuesto si posee conexión a Internet, no resulta tan grave desde el punto de seguridad que se adopte cada vez más este modelo, en especial por la posibilidad de identificar averías y prevenir accidentes laborales, además de por todos los avances de productividad que puede suponer.

El principal problema que encontramos en este desarrollo tecnológico es la ausencia de lo que se conoce como “seguridad por diseño”. Esto significa que, al desarrollar los equipos de tecnologías de la operación, se ha venido olvidando incorporar una visión que identifique y elimine vulnerabilidades “de fábrica” desde el punto de vista de ciberseguridad. Una vez fabricada la máquina, resulta más difícil cubrir estas vulnerabilidades por otros medios, creando una combinación entre vulnerabilidad y ausencia de protección que expone a estos sistemas a ser atacados por terceros.

Así, durante los últimos años hemos asistido a varios incidentes de ciberseguridad que han llevado a consecuencias graves en el plano físico. En especial, cabe mencionar un incidente en concreto, conocido en el mundo de la ciberseguridad y la protección de infraestructuras críticas como “Stuxnet” y que ha marcado la historia reciente de las operaciones en el ciberespacio.

Concretamente, Stuxnet fue una ciber arma empleada presuntamente (no ha habido atribución) por Israel y Estados Unidos, aproximadamente entre los años 2005 y 2010, cuando fue descubierta. Si bien existe bastante especulación sobre todo lo que rodea a este ataque, se cree que se trataba de un malware de tipo “gusano” que infectaba máquinas controladoras de procesos industriales y conseguía, a través de dichas máquinas, sabotear estos procesos alterando, por ejemplo, parámetros de configuración, instrucciones a las máquinas, o cualquier proceso que pudiera controlarse desde el sistema infectado.

Así, se cree que Stuxnet, entre los años mencionados, fue introducido en los sistemas de control de la planta nuclear de Natanz, en Irán, a través de una memoria USB infectada que se introdujo en una máquina conectada a la red interna, afectando a las máquinas centrifugadoras de la planta durante años sin que nadie sospechara que se trataba de un sabotaje.

Se ha llegado incluso a mencionar que inutilizó varios equipos que debieron ser sustituidos, o alteró el funcionamiento de otros, todo ello con el objetivo de entorpecer y ralentizar al máximo posible el avance del programa nuclear que se creía que Irán estaba desarrollando y facilitar así las negociaciones para llegar a al acuerdo nuclear que finalmente se firmó en 2015.

Aquí podemos añadir que un ataque de este tipo no solamente produce los efectos reales o físicos que se han mencionado, sino que también da lugar a una situación de pérdida de credibilidad a nivel internacional por la potencia que los sufre, en este caso Irán, y que durante años ha sido afectada por este ataque sin saberlo.

Dicho esto, podemos concluir que, teóricamente, es factible que los incidentes ocurridos en Irán hayan sido causados a través de ciberataques, siempre y cuando los sistemas de control de las infraestructuras dañadas posean algún tipo de conexión a Internet (ya sea del propio dispositivo o a través de otro conectado a la misma red) o que el atacante haya conseguido acceso físico a las mismas, lo cual tampoco es imposible pero sí operativamente más complejo.

Todo esto también traería una serie de implicaciones para Irán desde el punto de vista reputacional en lo que respecta a su capacidad defensiva. Si realmente los incidentes, en especial los que afectaron de nuevo a la planta de Natanz y a un depósito de misiles de los IRGC, fueron provocados por ciberataques, Irán vería su imagen debilitada en su rivalidad con Israel, ya que se trata de infraestructuras de la máxima criticidad a las cuales su potencia enemiga ha conseguido acceder sin ser detectada. Esto genera una vulnerabilidad interna que permite a un atacante desestabilizar el país a su antojo, sin necesidad de entrar en conflicto abierto para debilitar a su enemigo.

Sin un programa fuerte y maduro de protección de infraestructuras críticas, así como de protección de activos clave desde el punto de vista de Defensa, un país puede sufrir ataques de gran gravedad como las explosiones citadas y no llegar nunca a saber quién o por qué los llevó a cabo. Por ello, Stuxnet se estudia hoy de forma recurrente como un ejemplo claro de lo que puede conseguirse si se consigue acceso a un sistema de control asociado a una infraestructura crítica.

Si el ejemplo de una central nuclear o un depósito de misiles no resultase suficientemente preocupante, conviene recordar que sistemas de control como los ya afectados se emplean también para controlar todo tipo de procesos industriales, desde líneas de producción en fábricas hasta subestaciones eléctricas, tránsito ferroviario o refinerías.

La rivalidad entre Irán e Israel en el ciberespacio

Una vez que conocemos lo que se puede llegar a hacer, desde el punto de vista teórico, en el ámbito de los ciberataques contra equipos industriales, resulta interesante hacer un breve repaso de las hostilidades recientes entre Irán e Israel en el ciberespacio.

Pese a que no se cuenta con confirmación oficial en prácticamente ningún caso (los Estados no suelen atribuirse los ciberataques, ya que estos les ofrecen precisamente una ausencia de culpabilidad clara que les beneficia a la hora de evitar represalias en el plano físico), existe una fuerte creencia de que Irán e Israel vienen intercambiando ataques en este medio durante los últimos meses, marcados por la superioridad y mayor eficacia de los ataques israelíes. Concretamente, en 2020 podemos señalar los siguientes acontecimientos:

• Abril de 2020, Irán realizó un intento de ataque contra varias infraestructuras críticas relacionadas con el tratamiento de aguas en Israel, sin que (según el Departamento de Ciberseguridad israelí) consiguieran infligir ningún daño sobre las mismas.

• Mayo 2020: Israel respondió con un ciberataque contra el puerto comercial de Bandar Abbas, supuestamente entorpeciendo sus operaciones durante pocas horas.

A partir de junio de 2020, se suceden una serie de explosiones en las siguientes ubicaciones, sin que se conozca si alguna o todas han sido motivadas por ciberataques:

• 26 de junio 2020: explosión en el complejo militar de Parchin

• 26 de junio 2020: explosión en el hospital Sina At’har

• 2 de julio 2020: explosión en la central nuclear de Natanz

• 4 de julio de 2020: explosiones en la planta de generación de Shajid

• Medhaj en Zargan y la petroquímica de Karun en Mahshahr

• 6 de julio de 2020: explosión en la fábrica Sepahan Boresh de Baqershahr

• 9 de julio de 2020: explosiones en el depósito de misiles del Cuerpo de la Guardia Revolucionaria Islámica (IRGC) en Teherán

• 12 de julio de 2020: incendio en la petroquímica Shahid Tondgooyan

• 13 de julio de 2020: explosión en planta de condensación de gas en la provincia de Razavi Khorasan

• 18 de julio de 2020: explosión de un oleoducto en la región de Ahvaz

• 19 de julio 2020: explosión en una subestación en Isfahan

Aquí, como mencionábamos antes, cabe destacar el factor psicológico que implica un ataque satisfactorio de los mencionados en la moral del gobierno que se encuentra en el poder, así como en su población, que pierde confianza y empieza a ver cualquier pequeño fallo de maquinaria o de servicio esencial como un ataque extranjero que su país no es capaz de contener.

Accidentes industriales en Irán

En línea con lo anterior, cabe profundizar sobre la posibilidad de que, de la misma forma que parte de la población local iraní, tendamos a querer catalogar todas las explosiones e incidentes industriales que tengan lugar en el país con ciberataques extranjeros.

Para no caer en errores de razonamiento, resulta importante que nos detengamos y reflexionemos antes de asumir que, únicamente porque sea técnicamente factible, debamos afirmar que todos estos incidentes han sido originados por ciberataques israelíes.

En el artículo al respecto publicado por The Atlantic, Raz Zimmt señala la investigación realizada por Tiziana Corda (Universidad de Milán) para resaltar que la ocurrencia de incidentes en plantas industriales es relativamente frecuente en Irán, para lo que compara datos de 2020 y 2019 en la imagen que cierra este epígrafe.

Aquí podemos observar que ocurrencias como incendios, explosiones y similares derivadas de accidentes en centros industriales son relativamente frecuentes en Irán, con una incidencia alta en el año 2019 que, hasta donde se conoce, no guarda relación con ciberataques extranjeros.

Esto no significa que los incidentes enumerados anteriormente no puedan haber sido producidos por ciberataques, sino simplemente que existen otros motivos por los cuales se producen accidentes industriales de este tipo en Irán y, por tanto, no resulta tan evidente que se trate de tales sin contar con atribución o pruebas de algún tipo.

Conclusiones

Visto esto, cabe considerar la posibilidad de que efectivamente algunos de estos incidentes hayan sido causados por ciberataques israelíes, pero también que se esté produciendo una “sobre atribución” por parte de los medios de este país, señalando cualquier incidente industrial que ocurra como parte de la misma campaña de ciberataques.

Así, podríamos aventurarnos a afirmar que, si bien resulta posible que algunos incidentes, en especial aquellos que han afectado a ubicaciones más críticas como los depósitos de armamento o la planta de enriquecimiento de Natanz, tengan relación con el conflicto que libra Irán con Israel, otras explosiones de las reseñadas forman parte de la normalidad en el país y únicamente han salido a la luz fuera de Irán por la atención que han llamado los incidentes de Natanz o el IRGC.

De lo que sí podemos estar más seguros es de que las tendencias actuales que se identificaban en el ámbito industrial, si no van acompañadas de un programa sólido de ciberseguridad que mitigue las vulnerabilidades “por defecto” de dichas máquinas y se mantenga al día de nuevas amenazas que puedan surgir, harán que veamos más incidentes como los ocurridos en Irán durante los próximos años.