Seguridad en redes de abastecimiento de agua

Como parte del curso La seguridad en redes industriales e infraestructuras críticas, organizado por la UNED de Las Islas Baleares, realicé un análisis elemental de las redes de abastecimiento de agua. Comparto a continuación dicho examen.

Introducción

Las redes de distribución o abastecimiento de agua cumplen el cometido de transportar el agua potable a la población. Abarcan desde el punto en el que se produce (estaciones de tratamiento -ETAP-, desaladoras, o directamente pozos o manantiales en poblaciones pequeñas) hasta los edificios o lugares de consumo. Están formadas por estaciones relativamente deslocalizadas (bombeos, depósitos, derivaciones, reductoras de presión, etc.), razón por la cual un sistema de comunicaciones fiable es imprescindible para su funcionamiento correcto. Estas estaciones suelen poseer una terminal remota (RTU) o controlador (PLC) que recoge información y puede actuar sobre algunos equipos, como válvulas o dosificadoras. Dicha información debe compartirse entre las estaciones para un funcionamiento coordinado, y con un centro de control, donde un SCADA permite la visualización de la red y la adopción de acciones en función de demanda, previsión, estado de equipos, etc.
Obviamente, este tipo de instalación es una infraestructura crítica. Soporta un servicio esencial para la sociedad. Un mal funcionamiento afecta a un gran número de personas, además de conllevar un fuerte impacto económico y público. Las consecuencias de un ataque malintencionado pueden ser severas: pérdida del suministro, daño de las instalaciones, e incluso envenenamiento masivo por un exceso de cloración. Por tanto, de acuerdo a la Ley 8/2011 requieren una especial protección, de la que se debe encargar el Sistema de Protección de las Infraestructuras Críticas.

Riesgos

Aunque el curso se centra en las comunicaciones TCP/IP, por la rápida adopción que están teniendo debido a su potencial y las posibilidades de integración, el principal problema de las redes de abastecimiento de agua potable en España es que el grado de implantación de estos estándares no es suficientemente elevado. Abundan las comunicaciones por radio sin protocolos cifrados, como Modbus. Eso significa que son extremadamente vulnerables, puesto que la información se transmite de forma abierta. Cualquier persona, con herramientas tan accesibles como un portátil y un radiomodem, puede conocer las transmisiones, dificultarlas o impedirlas emitiendo en la misma frecuencia y, peor, introducir tramas (ataque de tipo man in the middle).
Estas redes, aunque con retraso, se están reemplazando por otras más de mayor ancho de banda, usualmente TCP/IP: WiMax, GSM, 3G, etc. Sobre esta capa se puede cifrar la comunicación, lo que resolvería el problema antedicho. No obstante, al abordar la sustitución del controlador, no se suele optar por otro con esta capacidad. Lo usual es reemplazarlo por un equipo del mismo fabricante, por ser económicamente más rentable la migración, y con mucha frecuencia no se dispone de equipos con capacidad de encriptación, o su coste es elevado. Por tanto, en el mejor de los casos, lo usual es que esta tarea se descargue sobre el router, que se conecta a un servidor VPN en el centro de control.
A esta configuración aplican los riesgos propios de cualquier red de este tipo. Brevemente, un atacante puede aprovechar vulnerabilidades para obtener información, producir denegaciones de servicio, inyectar paquetes, modificar consignas, programación, destruir equipos, etc. Entre estas vulnerabilidades se puede mencionar:

  • Agujeros de seguridad de los equipos. Puede ser el firmware del controlador o de los router, que no se suele actualizar con frecuencia, u obsolescencia del software de los ordenadores existentes en el centro de control: sistemas operativos, drivers, SCADA, otras aplicaciones o herramientas que se usen…
  • Mala elección de cifrado de la red privada virtual, o de las contraseñas, que pueden permitir al atacante introducirse en ellas.
  • Mal diseño de la infraestructura. Parte de la información recogida por el SCADA debe usarse con propósitos de gestión, y no siempre existe un firewall bien configurado entre ambas redes. Cuando las comunicaciones con las estaciones remotas se hace vía 3G o similar, el centro de control accede a ellas gracias Internet. Si no se aísla adecuadamente el equipo donde corre el SCADA, éste quedará a merced de cualquier ataque que proceda de esta vía.
  • Por lo que toca a las estaciones, es muy difícil protegerlas de sabotaje debido a su deslocalización. El coste de una plantilla continua de vigilancia no es asumible, y si un atacante logra acceso físico al interior de una estación, es posible que encuentre, como se ha comentado, comunicaciones Ethernet desprotegidas. No sólo se compromete dicha estación, sino toda la red, al disponer de fácil acceso a cualquier punto.
  • Muchos PLC o RTU no disponen de mecanismos de protección, o no se hace uso correcto de ellos. No sólo me refiero a no admitir comunicaciones cifradas, sino que cualquier persona, sin mediar contraseña, tenga acceso de lectura y escritura de todos sus datos y código.
  • A las vulnerabilidades puramente tecnológicas hay que sumarles las derivadas de una mala concienciación o desconocimiento del personal. Un atacante podría hacerse pasar por una empresa de servicios para acceder a las instalaciones, o utilizar ingeniería social para obtener claves, acceso a la red, etc. Hay precedentes muy conocidos de uso de memorias USB como vectores de transmisión de software malicioso. Tampoco se puede descartar un ataque desde dentro, por malestar del propio personal.

Por poner un ejemplo de ciberamenaza, Verizon describe en el Data Breach Digest de marzo el ataque a la red de distribución de la Kemuri Water Company (Australia). El atacante accedió al SCADA a través de la aplicación de pago online de la compañía, y alteró las configuraciones de la instalación. Por tanto, aprovechó vulnerabilidades del servidor web, de la arquitectura (ya que pudo alcanzar la aplicación de control) y por último de la mala protección de ésta.

Soluciones

Los riesgos descritos son comunes a muchas instalaciones existentes actualmente. Debido a su criticidad, es urgente acometer las reformas necesarias para corregir sus vulnerabilidades. Incluirían los siguientes pasos.

  • Renovación de las instalaciones obsoletas. Con carácter perentorio, acometer todas aquellas que utilizan comunicaciones por radio abiertas. Idealmente, se debería usar comunicaciones cifradas punto a punto. Ello implica que los controladores deben posibilitarlo. En su defecto, adoptar medidas para que el acceso no permitido a una estación no posibilite poner en compromiso la infraestructura completa; se puede por ejemplo utilizar cortafuegos de tercera generación, con filtrado a nivel de aplicación.
  • Protección adecuada de los equipos. Se debe asegurar configuraciones y contraseñas seguras en controladores, enrutadores, ordenadores, etc.
  • Actualización continua de software (incluido firmware) a últimas versiones libres de vulnerabilidades. Los ordenadores deben contar con antivirus actualizado.
  • Los equipos de control no deben poseer más aplicaciones que las imprescindibles, para minimizar los posibles riesgos.
  • Los usuarios deben estar correctamente definidos en cuanto a número y privilegios, y su acceso debe ser validado por contraseña o método similar. Debe hacerse registro de todas las acciones que se llevan a cabo.
  • Se deben bloquear los posibles focos de infección: puertos USB, medios con autoarranque, acceso a Internet o correo electrónico en el equipo de control, etc.
  • Si la red de control no está aislada de otras, deben limitarte adecuadamente mediante firewalls las comunicaciones que tengan lugar, no permitiendo intercambiar más información que la imprescindible y en la forma en que se haya definido.
  • Para prevenir ataques mediante ingeniería social, es necesaria formación y concienciación del personal en temas de seguridad. Esta formación debe renovarse contemplando la evolución de las tecnologías.
  • Todas estas medidas deben de estar enmarcadas en una política que vele por la seguridad de las infraestructuras. Se deben hacer auditorías periódicas, análisis de intentos de acceso no permitidos, revisión del estado de los equipos, etc.

Este tipo de medidas requieren la implicación de la Administración a todos los niveles (desde estatal a ayuntamientos, con un fuerte papel de consorcios locales o diputaciones), empresas de gestión de agua y otros agentes que contempla el Sistema de Protección de las Infraestructuras Críticas, que deberían actuar de forma coordinada para asegurar las instalaciones.

Facebooktwitterlinkedin