OLDSMAR, FLORIDA, una pequeña ciudad de aproximadamente 14.000 habitantes, es un lugar poco probable para un intento de masacre cibernética. Entonces, cuando un operador de la planta de tratamiento de agua de la ciudad notó que alguien accedía brevemente a su red a principios del 5 de febrero, asumió que era un supervisor que se estaba registrando. En medio de una pandemia, el trabajo remoto difícilmente sería inusual. Pero la complacencia se convirtió en alarma a la hora del almuerzo, cuando notó que alguien había tomado el control de su cursor durante varios minutos y había aumentado el nivel de hidróxido de sodio, un químico alcalino cáustico que se usa en pequeñas cantidades para controlar la acidez del agua y en grandes cantidades en limpiador de desagües — más de cien veces.
El esfuerzo por envenenar a los floridanos fracasó cuando el atento operador rápidamente revirtió la medida, mucho antes de que pudiera cambiar la composición química del suministro de agua. De no ser así, otros sistemas de monitoreo de la planta habrían notado el cambio en el nivel de pH y habrían hecho sonar la alarma, según el alcalde de la ciudad. “En ningún momento hubo un efecto adverso significativo sobre el agua que se estaba tratando”, dijo el sheriff local, en una conferencia de prensa el 8 de febrero. "Es importante destacar que el público nunca estuvo en peligro". Los residentes de Oldsmar pueden no ser tan optimistas. El ataque es un recordatorio de que la creciente digitalización de la infraestructura crítica la ha vuelto vulnerable como nunca antes.
En el pasado, los piratas informáticos han montado audaces ataques contra los sistemas de control de supervisión y adquisición de datos (SCADA) utilizados por las redes eléctricas, oleoductos e instalaciones industriales para monitorear y controlar sus operaciones, ya sea que una bomba esté abierta o cerrada, por ejemplo. El ejemplo más famoso de tal asalto es Stuxnet, un presunto ataque cibernético estadounidense e israelí contra instalaciones nucleares iraníes descubierto hace poco más de una década. En ese ataque, un gusano informático que apuntaba a los sistemas de control de Siemens engañó a las centrífugas iraníes para que se separaran mientras aseguraba a los sistemas de monitoreo que todo estaba bien.
Sin embargo, mientras que Stuxnet fue una incursión de sofisticación sin precedentes, que utilizó herramientas digitales raras y costosas para penetrar y engañar a una instalación que estaba desconectada de Internet, el ataque de Oldsmar fue el equivalente a abrir una ventana suelta. El intruso obtuvo acceso a la planta a través de un empleado que había instalado TeamViewer, un software omnipresente que permite a alguien ver y controlar una computadora de forma remota (por ejemplo, para brindar asistencia técnica). Un funcionario de la ciudad le dijo a Vice Motherboard, un sitio web, que el acceso remoto normalmente habría requerido una contraseña.
Puede parecer curioso que un servicio público vital deba conectarse a Internet y ser controlable desde Internet, pero no es inusual. En mayo de 2020, Shodan, un motor de búsqueda especializado que cataloga los dispositivos conectados a Internet, encontró más de 112,000 sistemas de control industrial con puertos abiertos, esencialmente una puerta virtual al mundo en general. La ventaja de conectar en red una planta de agua o energía es que se puede monitorear, controlar y mantener de forma remota. Eso es una bendición particular durante un período de trabajo remoto inducido por una pandemia.
Gran parte de esa red, sin embargo, ha sido descuidada. "Muchas de las empresas de agua más pequeñas no tienen presupuestos ni personal para la gente de seguridad cibernética o incluso para sus propios ingenieros de sistemas de control", dice Gus Serino de Dragos, una empresa de seguridad cibernética, que anteriormente trabajó en una gran empresa estadounidense servicio de agua. "Y por lo general, confían en integradores de sistemas externos que diseñarán y construirán sus sistemas, e históricamente la seguridad cibernética no fue parte de ese cálculo". Aunque la mera violación de una planta no sería suficiente para causar una calamidad (casi todas incluyen varias redundancias para detectar anomalías, y alterar el suministro de agua puede llevar días), los ataques más sofisticados podrían anular algunas de estas salvaguardas.
En un informe del año pasado, la Cyberspace Solarium Commission, un grupo de legisladores y expertos por mandato del Congreso, hizo una comparación cautelosa entre el suministro de agua de Estados Unidos, compuesto por casi 70.000 servicios públicos separados, y su sistema electoral igualmente descentralizado. Los sistemas descentralizados proporcionan una medida de resiliencia, pero dificultan la implementación de estándares de seguridad uniformes. Las plantas de agua, advirtió la comisión, se estaban conectando a redes digitales "con variaciones dramáticas en capacidad y sofisticación", y "siguen [e] en gran parte mal preparadas para defender sus redes".
Un ejemplo sorprendente de esto se produjo en abril de 2020 cuando presuntos piratas informáticos iraníes intentaron alterar el nivel de cloro en una planta de agua municipal en el centro de Israel, lo que provocó una respuesta israelí contra un puerto iraní. Yigal Unna, jefe de la Dirección Nacional Cibernética de Israel, enmarcó el intento en términos dramáticos: “El invierno cibernético se acerca y llegará incluso más rápido de lo que sospechaba. Solo estamos viendo el comienzo. Recordaremos esto como un punto de cambio en la historia de la guerra cibernética moderna ". De hecho, fue solo la última salva.
Varios ciberataques a plantas acuáticas no han sido denunciados, dice un experto familiarizado con esos casos. Un estudio de incidentes cibernéticos conocidos en el sector del agua entre 2000 y 2019 concluyó que, aunque estos ataques no habían causado víctimas humanas, habían “provocado la contaminación de cuerpos de agua abiertos, robo de agua de riego, filtración de datos y manipulación de tasas de productos químicos en agua potable, por nombrar algunos ". De hecho, una de las primeras infracciones conocidas de un sistema SCADA fue una de las más complicadas. Hace poco más de dos décadas, un excontratista de Maroochy Water Services, una planta de agua en Australia, utilizó una computadora portátil, una radio bidireccional y equipos especializados para liberar casi 1 millón de litros de aguas residuales sin tratar de las estaciones de bombeo a los parques y ríos locales. "La vida marina murió, el agua del arroyo se volvió negra y el hedor era insoportable para los residentes", señaló un funcionario australiano en ese momento.
Como muchos incidentes posteriores, ese fue el trabajo relativamente simple de un interno descontento en lugar de agencias de inteligencia extranjeras con malware avanzado. El incidente de Oldsmar puede resultar ser un esfuerzo similar de aficionado. Pero con el tiempo, los estados se han dado cuenta de que pueden penetrar la infraestructura crítica de sus rivales por diversas razones y a un costo relativamente bajo. A menudo, el objetivo no es infligir daños, sino "preposicionar" el malware que permitiría un ataque en el futuro, como en una crisis o guerra. Estados Unidos y Rusia se han sondeado mutuamente de esta manera durante años, excavando y maniobrando en lugar de volar algo.
Sin embargo, algunos ataques han ido más lejos. El Manual de Tallin, una guía autorizada sobre la legalidad de las operaciones cibernéticas, señala que los ciberataques destinados a privar a los civiles de un sustento vital, como agua, alimentos o electricidad, son ilegales en la mayoría de los casos, de la misma manera que bombardear esas instalaciones. desde el aire estaría prohibido. Ese juicio no parece disuadir a algunos estados de hacer el intento. En 2016, un presunto ataque ruso, inspirado en parte por Stuxnet, interrumpió la red eléctrica de Ucrania y cortó la energía a aproximadamente una quinta parte de Kiev en medio de un duro invierno. Dos años después, Ucrania dijo que había detenido otro supuesto intento ruso de interrumpir una planta de cloro.
En un mundo ideal, tales instalaciones no permitirían el acceso remoto en absoluto, advierte Serino. Si eso no es posible, insta a que se tomen medidas de seguridad más estrictas, como autenticar la identidad de quienes inician sesión de forma remota y canalizar el tráfico a través de servidores "jump box", una especie de búfer virtual. "Tenemos que continuar educando a los ingenieros e integradores que están haciendo este trabajo sobre los desafíos y riesgos asociados con la seguridad de estos sistemas que, en este momento, no tienen muchos controles de seguridad cibernética inherentes".