Agustín Valencia
Agustín Valencia Colaborador y docente Centro de Ciberseguridad Industrial (CCI)

La ciberseguridad en el sector de la energía en el próximo invierno

ciberataques sector energía_infraestructuras críticas

Nunca antes desde la crisis del petróleo de 1973 se había afrontado un invierno con tanta preocupación a nivel mundial como el que nos espera en el de 2022-2023.

En Europa la tensión energética es máxima, como bien se indica a diario en los noticiarios. Todo el aporte de gas desde Rusia por el gasoducto Nordstream 1 se ha bloqueado, Francia ha necesitado parar buena parte de su parque de generación nuclear para inspeccionar posibles fallos de corrosión en sistemas críticos y continúan las tensiones con Argelia para enviar gas a España. Por otro lado, la capacidad estadounidense está reducida debido a un accidente que se explicará más adelante.

Las fuentes renovables no han aportado tanto como se pudiera necesitar debido a la climatología y a que concentraciones puntuales de energía no siempre pueden ser evacuadas por las redes de transporte. Y esto conlleva a paradojas que se ven en las redes sociales, como ver molinos obligados a parar en condiciones de viento.

Cuando se habla de grandes accidentes siempre se habla de la teoría del iceberg. De modo que se analizan cuántas causas han ido contribuyendo de manera poco visible y que, todas juntas, han propiciado que un solo fallo más desencadenara consecuencias fatales.

Reacción en cadena

Pero ¿podría ser la ciberseguridad hacia alguno de los vectores energéticos −todos tan tensionados actualmente− la espoleta para la reacción en cadena? Sin duda hay motivos y aquí vamos a explicar algunos.

A nivel de amenazas, fue en los primeros meses de 2022 cuando se publicaron dos nuevas, ambas muy enfocadas contra sistemas industriales. La primera, denominada Pipedream por Dragos, describía una amenaza muy evolucionada que aglutinaba las capacidades de los ataques que han conformado la disciplina de la ciberseguridad industrial y cómo defenderse. Nos referimos a Stuxnet y a Triton, junto con capacidades de dispersión por medio de comunicaciones industriales como Modbus e incluso encriptadas como OPC-UA.

Stuxnet fue pública en 2010 a raíz de los ataques a controladores Siemens en la fábrica de combustible nuclear de Natanz (Irán), así como a la modificación de láminas de SCADA y el riesgo asociado a los pendrive USB. Y Triton, pública en 2017, es importante por ser la primera enfocada en anular un sistema de seguridad instrumentado y en buscar daños contra instalaciones y personas. También por ser capaz de anular protecciones y conseguir persistencia modificando librerías de SCADA y controladores.

Te interesa: Buenas prácticas de ciberseguridad en los sistemas de seguridad física.

Además, por las vulnerabilidades que explotan, los objetivos se enmarcan principalmente en los entornos de electricidad y Oil & Gas. Es más, la gravedad del descubrimiento hizo a la CISA estadounidense emitir una alerta en abril (AA22-103A) para que se diera prioridad a las mitigaciones recomendadas por parte del sector.

La segunda amenaza, denominada Industroyer 2, no es realmente nueva. Se trata de la evolución de Industroyer, pública en 2017 por Eset a raíz de los ataques realizados por Rusia en las infraestructuras ucranianas en las navidades de 2015 y 2016. El ataque original perseguía destruir las subestaciones de la infraestructura eléctrica aprovechando una vulnerabilidad de protecciones. Pero originalmente no se le dio gran importancia porque se infravaloraba la capacidad de los atacantes para acceder a estos sistemas mediante los protocolos de comunicaciones específicos del entorno eléctrico. Sin embargo, al ser analizado, se vio que se había diseñado para propagarse mediante más de tres protocolos específicos.

Industroyer 2 va un paso más allá. Busca la persistencia en las estaciones de operación e ingeniería de los centros de control de las empresas operadoras, al igual que Triton, pero con una especificidad adicional. En este caso se había diseñado para atacar SCADA funcionando sobre sistemas operativos Solaris, poco comunes en general pero muy específicos de algunas herramientas.

Además de amenazas de ciberseguridad debemos hablar de ataques

En febrero se supo que varias terminales portuarias de aprovisionamiento de hidrocarburos de Alemania, Bélgica y Holanda se vieron afectadas por un ataque de ransomware. En concreto, las empresas Both Oiltanking Deutschland y Mabanaft Deutschland llegaron a declarar fuerza mayor por no poder cumplir sus compromisos de abastecimiento debido al impacto del ataque en sus infraestructuras. Incluso empresas como Shell tuvieron que modificar sus rutas para poder descargar sus barcos cisterna en otras terminales.

Análogamente, y solo basándonos en información pública, la CISA estadounidense ha difundido varios avisos para incrementar el nivel de alerta de los sistemas eléctricos del país en vista del aumento de actividad. El más sonado fue al poco de iniciarse la invasión de Ucrania por Rusia. La alerta (AA22-083A) describía técnicas, tácticas y procedimientos identificados en ataques para que las empresas de energía pudieran alimentar sus sistemas de detección y de monitorización para ayudar a incrementar la eficacia de sus centros de operaciones de seguridad. Parte de la información hacía referencia a los ataques mencionados anteriormente.

Además, en febrero se avisó de un incremento de ataques de ransomware por medio de pendrives USB. Más tarde, en septiembre, se emitió un aviso de que una vulnerabilidad de Windows (CVE-2010-2568) aprovechada por Stuxnet volvía a situarse entre las más explotadas. Pensemos que esta última es propia de equipos Windows XP y Windows 7, así como de Windows Server 2003 y 2008.

Dentro de las sospechas de ataques y relacionado con las vulnerabilidades no mitigadas, debemos señalar el accidente de junio en Estados Unidos. En concreto, la planta de Freeport sufrió una explosión en una de sus líneas de licuefacción de gas, que suponía el 20 por ciento de toda la capacidad de producción de gas natural licuado del país, y que se estaba destinando a Europa. Todavía se investiga si pudo haber alguna relación con causas de ciberseguridad. De hecho, la empresa SecurityScorecard reveló tras el accidente que la planta presentaba varias vulnerabilidades explotables desde el exterior, sugiriendo la posibilidad de haber podido lanzarse un ataque como el de Triton, pero sin confirmar si efectivamente habían sido explotadas.

¡Sigue leyendo!

Aquí te hemos mostrado tan solo una parte de este artículo.

¿Quieres leer el contenido completo?

Leer Completo
Contenido seleccionado de la revista digital
Aplicar filtros
Convocatoria 37ª edición Trofeos Internacionales de la Seguridad
Convocatoria 37ª edición Trofeos Internacionales de la Seguridad
Presenta tu candidatura para la 37ª edición de los Trofeos Internacionales de la Seguridad