Kiev, la ciudad que se quedó sin luz por un malware

Diciembre de 2016. Las noches de invierno en Ucrania son frías, con un promedio de entre 0 y -5 grados centígrados. Heladas. De pronto, en Kiev se corta la luz. Los técnicos de la compañía pudieron restablecer el servicio luego de 75 minutos y de operar las centrales en forma manual. Seis meses después, investigadores de ESET revelaron que el apagón, que afectó al 20% de la ciudad, fue producto de un malware.

La firma eslovena lo bautizó Industroyer y lo definió como “la mayor amenaza contra los sistemas industriales desde Stuxnet (virus que afectó al programa nuclear de Irán en 2010)”. Lo que hace a este virus particularmente peligroso es que tiene la capacidad de controlar de forma directa los interruptores de una central eléctrica.

¿Cómo? Resulta que los protocolos de los que se aprovecha fueron creados hace décadas y, por lo tanto, se pensaron para ser usados de manera aislada. De esta forma, la seguridad no era un problema. Al menos hasta que fueron integrados a la red. Esto significa que el malware no requiere de vulnerabilidades del sistema sino que, simplemente, utiliza los protocolos existentes de otra forma.

Además de poder controlar interruptores y disyuntores, una vez infiltrado en una subestación de distribución eléctrica, Industroyer tiene la capacidad de no ser detectado y de borrar su rastro una vez finalizado su trabajo.

Sin embargo, el aspecto más preocupante de este malware es que los protocolos de comunicación que utiliza se emplean mundialmente, y no solo en infraestructuras de suministro de energía eléctrica sino también en sistemas de control de transporte, agua y gas, entre otros. Por lo que su campo de acción se amplía considerablemente.

Robert Lipovsky, experto en seguridad de ESET y líder del equipo que descubrió el malware, indicó a Reuters que “es muy fácil de reformular y reutilizar. Podría incluso causar un daño a nivel mundial en infraestructuras vitales”.

“Que el apagón se haya producido en una subestación al norte de Kiev, alrededor de la medianoche y durante una hora no coincide con el potencial de este malware. Por lo tanto, o los atacantes no lograron su objetivo de forma completa o quizás solo era una prueba. Esta última es la explicación con mayor consenso global”, concluyó Lipovsky en la Ekoparty.

Fuentes
-WeLiveSecurity (1, 2, 3)

MIT Technology Review

Reuters

Ekoparty 2017

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s