A lo largo de los meses de junio y julio de este año venimos asistiendo a diversas explosiones en Irán, seguidas en el tiempo y que han afectado a instalaciones tan sensibles como almacenes de misiles de del Cuerpo de la Guardia Revolucionaria Islámica (IRGC), complejos militares, plantas nucleares, plantas petroquímicas o centros de atención sanitaria. La posibilidad de que dichas explosiones sean en realidad ciberataques realizados por un país enemigo, concretamente Israel, ha generado varias dudas entre los analistas y expertos dedicados al seguimiento del contexto de seguridad y estratégico en esta región.
La ausencia de explicación hasta el momento por parte de Irán ha hecho que se especule de forma extensiva sobre el grado de certeza que podemos tener sobre que realmente Israel haya conseguido generar tales daños en infraestructuras iraníes, muchas probablemente consideradas críticas, a través de ciberataques. Este debate puede dividirse en dos cuestiones clave:
- En primer lugar, ¿es posible generar explosiones tan destructivas como las observadas en Irán a través de ciberataques?
- En segundo lugar, ¿cómo de seguros podemos estar de que todas estas explosiones registradas sean realmente obra de un ciberataque por parte de Israel o de otra potencia extranjera/grupo hostil?
La magnitud de los incidentes, así como el hecho de haberse producido en un espacio tan reducido de tiempo y sobre sectores de actividad de gran relevancia para la seguridad nacional de Irán vienen generando dudas razonables acerca de si podría realmente tratarse de ciberataques o si, por el contrario, existen explicaciones alternativas según cada caso.
Para arrojar algo de luz sobre este asunto, nos centraremos en tres aspectos clave:
- La ciberseguridad industrial y la protección de infraestructuras críticas desde este punto de vista
- La rivalidad de Irán e Israel en el ciberespacio
- Los accidentes industriales en Irán
La ciberseguridad industrial y la protección de infraestructuras críticas
En lo que respecta al primer interrogante, debemos comenzar haciendo referencia a un concepto clave a la hora de entender cómo funciona la protección de infraestructuras como las afectadas en Irán desde el punto de vista ciber: la diferencia entre tecnología de la información y tecnología de las operaciones, también conocidas como IT/TI y OT/TO.
Haciendo uso de las definiciones que presenta la empresa Oasys, podemos afirmar que:
“la Tecnología de la Información se caracteriza por la aplicación de equipos de telecomunicación como ordenadores para tratar datos (…) En cambio, la Tecnología de las Operaciones está dedicada a detectar o cambiar los procesos físicos a través de la monitorización y el control de dispositivos también físicos, como tuberías o válvulas”.
Si bien en la práctica resulta complicado hilar fino para poder distinguir qué sistemas y dispositivos se corresponden con cada uno de estos dominios, sí nos permite identificar que existen unos sistemas de uso especializado para el control y la detección de procesos industriales. Tradicionalmente, estos sistemas industriales no poseían conexión a Internet y tenían una arquitectura y unas características muy complejas y poco estandarizadas.
Todo ello hacía que, para que alguien consiguiera interferir en su funcionamiento, necesitara acceder físicamente al lugar donde se encuentra dicho sistema (dentro de la sala de control de la planta o fábrica, por ejemplo) y, una vez dentro, conocer el funcionamiento del mismo hasta el punto de poder forzar un sabotaje.
Así, la ausencia de conexión a Internet, así como la “seguridad por oscuridad” que le proporcionaba la falta de conocimiento generalizado sobre cómo funcionaban y estaban estructurados estos sistemas, vino aportándoles una garantía de seguridad extra que en la actualidad está perdiéndose.
Precisamente, esta pérdida de protección viene en primer lugar por la mayor estandarización de los equipos industriales. El volumen ingente de información al que tenemos acceso incluye, cada vez más, especificaciones técnicas de soluciones comerciales que emplean gran cantidad de empresas.
Esta disponibilidad de información ya permite que un atacante consiga estudiar los sistemas que emplea una empresa y buscar vulnerabilidades o planear cómo sabotearlos para que generen un daño específico. Sin embargo, pese a conocer al dedillo cómo funcionan y cómo sabotearlos, precisamos de un segundo factor para poder realizar el ciberataque de forma remota: una conexión con ellos. Si los sistemas no están conectados a Internet, o a una red en la que se encuentran dispositivos conectados, un atacante no conseguirá acceder a ellos de forma remota, debiendo acceder físicamente a las máquinas para poder sabotearlas.
Sin embargo, como ocurre frecuentemente en el ámbito de la seguridad, el aumento del riesgo no necesariamente hace que una decisión se descarte, y así hemos asistido durante los últimos años al surgimiento y auge de lo que se conoce como el “Internet industrial de las cosas”, una adaptación al ámbito industrial del concepto IoT o Internet de las Cosas que se basa en la creación de maquinaria industrial “inteligente”, es decir, conectada a internet y con sensores y capacidades que permiten optimizar procesos, prevenir averías y un sinfín de aplicaciones que mejoran la actividad industrial.
En sí, y pese a que posiblemente un dispositivo siempre estará más expuesto si posee conexión a Internet, no resulta tan grave desde el punto de seguridad que se adopte cada vez más este modelo, en especial por la posibilidad de identificar averías y prevenir accidentes laborales, además de por todos los avances de productividad que puede suponer.
El principal problema que encontramos en este desarrollo tecnológico es la ausencia de lo que se conoce como “seguridad por diseño”. Esto significa que, al desarrollar los equipos de tecnologías de la operación, se ha venido olvidando incorporar una visión que identifique y elimine vulnerabilidades “de fábrica” desde el punto de vista de ciberseguridad. Una vez fabricada la máquina, resulta más difícil cubrir estas vulnerabilidades por otros medios, creando una combinación entre vulnerabilidad y ausencia de protección que expone a estos sistemas a ser atacados por terceros.
Así, durante los últimos años hemos asistido a varios incidentes de ciberseguridad que han llevado a consecuencias graves en el plano físico. En especial, cabe mencionar un incidente en concreto, conocido en el mundo de la ciberseguridad y la protección de infraestructuras críticas como “Stuxnet” y que ha marcado la historia reciente de las operaciones en el ciberespacio.
Concretamente, Stuxnet fue una ciber arma empleada presuntamente (no ha habido atribución) por Israel y Estados Unidos, aproximadamente entre los años 2005 y 2010, cuando fue descubierta. Si bien existe bastante especulación sobre todo lo que rodea a este ataque, se cree que se trataba de un malware de tipo “gusano” que infectaba máquinas controladoras de procesos industriales y conseguía, a través de dichas máquinas, sabotear estos procesos alterando, por ejemplo, parámetros de configuración, instrucciones a las máquinas, o cualquier proceso que pudiera controlarse desde el sistema infectado.
Así, se cree que Stuxnet, entre los años mencionados, fue introducido en los sistemas de control de la planta nuclear de Natanz, en Irán, a través de una memoria USB infectada que se introdujo en una máquina conectada a la red interna, afectando a las máquinas centrifugadoras de la planta durante años sin que nadie sospechara que se trataba de un sabotaje.
Se ha llegado incluso a mencionar que inutilizó varios equipos que debieron ser sustituidos, o alteró el funcionamiento de otros, todo ello con el objetivo de entorpecer y ralentizar al máximo posible el avance del programa nuclear que se creía que Irán estaba desarrollando y facilitar así las negociaciones para llegar a al acuerdo nuclear que finalmente se firmó en 2015.
Aquí podemos añadir que un ataque de este tipo no solamente produce los efectos reales o físicos que se han mencionado, sino que también da lugar a una situación de pérdida de credibilidad a nivel internacional por la potencia que los sufre, en este caso Irán, y que durante años ha sido afectada por este ataque sin saberlo.
Dicho esto, podemos concluir que, teóricamente, es factible que los incidentes ocurridos en Irán hayan sido causados a través de ciberataques, siempre y cuando los sistemas de control de las infraestructuras dañadas posean algún tipo de conexión a Internet (ya sea del propio dispositivo o a través de otro conectado a la misma red) o que el atacante haya conseguido acceso físico a las mismas, lo cual tampoco es imposible pero sí operativamente más complejo.
Todo esto también traería una serie de implicaciones para Irán desde el punto de vista reputacional en lo que respecta a su capacidad defensiva. Si realmente los incidentes, en especial los que afectaron de nuevo a la planta de Natanz y a un depósito de misiles de los IRGC, fueron provocados por ciberataques, Irán vería su imagen debilitada en su rivalidad con Israel, ya que se trata de infraestructuras de la máxima criticidad a las cuales su potencia enemiga ha conseguido acceder sin ser detectada. Esto genera una vulnerabilidad interna que permite a un atacante desestabilizar el país a su antojo, sin necesidad de entrar en conflicto abierto para debilitar a su enemigo.
Sin un programa fuerte y maduro de protección de infraestructuras críticas, así como de protección de activos clave desde el punto de vista de Defensa, un país puede sufrir ataques de gran gravedad como las explosiones citadas y no llegar nunca a saber quién o por qué los llevó a cabo. Por ello, Stuxnet se estudia hoy de forma recurrente como un ejemplo claro de lo que puede conseguirse si se consigue acceso a un sistema de control asociado a una infraestructura crítica.
Si el ejemplo de una central nuclear o un depósito de misiles no resultase suficientemente preocupante, conviene recordar que sistemas de control como los ya afectados se emplean también para controlar todo tipo de procesos industriales, desde líneas de producción en fábricas hasta subestaciones eléctricas, tránsito ferroviario o refinerías.
La rivalidad entre Irán e Israel en el ciberespacio
Una vez que conocemos lo que se puede llegar a hacer, desde el punto de vista teórico, en el ámbito de los ciberataques contra equipos industriales, resulta interesante hacer un breve repaso de las hostilidades recientes entre Irán e Israel en el ciberespacio.
Pese a que no se cuenta con confirmación oficial en prácticamente ningún caso (los Estados no suelen atribuirse los ciberataques, ya que estos les ofrecen precisamente una ausencia de culpabilidad clara que les beneficia a la hora de evitar represalias en el plano físico), existe una fuerte creencia de que Irán e Israel vienen intercambiando ataques en este medio durante los últimos meses, marcados por la superioridad y mayor eficacia de los ataques israelíes. Concretamente, en 2020 podemos señalar los siguientes acontecimientos:
(Continúa…) Estimado lector, este artículo es exclusivo para usuarios de pago. Si desea acceder al texto completo, puede suscribirse a Revista Ejércitos aprovechando nuestra oferta para nuevos suscriptores a través del siguiente enlace.
Be the first to comment