RISI

RISI

Hace unos años se creó el Repository of Industrial Security Incidents (RISI) con objeto de recoger los fallos de seguridad, muchas veces ataques, que se van detectando en en ámbito industrial o que afectan a infraestructuras críticas, tal y como la distribución de energía, agua, sistema financiero, etc. Se trata de una base de datos de acceso público cuya información se obtiene por diversas vías. La principal es de forma directa por parte de los agentes afectados. Entre ellos se encuentran profesionales de la automatización, ingenieros o vendedores que directamente reportan las incidencias de las que tienen constancia. Pero también bebe de otras fuentes, como bases de datos legales, grupos de noticias o intercambio de información con organizaciones similares.
La base del datos del RISI está lejos de ser completa, de hecho es bastante escasa, y se actualiza con lentitud. Las razones son varias. En primer lugar, este tipo de incidentes con mucha frecuencia no salen a la luz, por políticas de las empresas u organismos que los sufren. Esta ocultación no es beneficiosa para la adopción de respuestas comunes, y para minimizar este escollo RISI oculta información sobre las entidades afectadas a petición de éstas, centrando la descripción en los mecanismos del ataque y las vulnerabilidades que lo facilitaron. En segundo lugar, se investiga cada uno de los sucesos, y sólo se encuentran en primera página aquéllos que están confirmados. Por último, las indagaciones de este tipo de sucesos son a veces difíciles y, en contra de lo que sucede con los ataques, demasiado lentas.

RISI
RISI

Por irnos a un ejemplo, podemos buscar el clásico ataque de Stuxnet, que se produjo en 2010 contra los centros iranís de enriquecimiento de uranio. Como podemos leer, el incidente está confirmado, si bien todavía se encuentra bajo investigación. Se comenta brevemente la historia del caso: fue descubierto por una empresa de seguridad bielorrusa y detuvo instalaciones en Natanz durante una semana. El malware se propaga como gusano aprovechando una vulnerabilidad de Windows, busca en la máquina infectada una instalación de WinCC y usa la contraseña por defecto de Microsoft SQL, tras lo que accede al sistema de control. RISI no entra a debatir el que fuera un ataque dirigido, pero podemos encontrar un daño colateral que se produjo el mismo año en molinos de harina iranís.
Respecto a España, sólo se registra un caso confirmado. Insisto en que, aunque el número de incidentes es elevado, no es habitual que los afectados compartan esta información. Se refiere al accidente del vuelo 5022 de Spanair el 20 de agosto de 2008, en que murieron 154 personas en Barajas a consecuencia de la infección de un troyano, que impidió que el sistema de control alertase de las alarmas.

Facebooktwitterlinkedin