Piense en lo que pasaría si un ciberataque derribara la red eléctrica de Nueva York o incluso de una parte más grande del país. Como vimos en los cortes de energía en California de 2019, la gente podía arreglárselas durante unas horas, quizás unos días, pero ¿qué pasaría si el corte durara una semana o más? Si una población mayor fuera blanco de un ciberataque a una empresa de servicios públicos, ¿es factible o deseable evacuar a millones de personas? Es hora de prepararse para este tipo de situaciones. Si analizamos los acontecimientos recientes (los cortes en California y la tormenta de viento en Wyoming de 2017), nos da una idea de lo que podría ser inimaginable y nos muestra lo necesario que es protegerse contra ello.
•••
El otoño pasado, en el norte de California, los Estados Unidos sufrieron su primer apagón prolongado, deliberado y a gran escala. Impulsadas por el aumento del temor a incendios devastadores debido a sus equipos centenarios, las empresas de servicios públicos de la región cortaron la energía a más de1,5 millones de personas lo que obligó a muchas evacuaciones. El impacto fue devastador; Michael Wara, experto en clima y energía de la Universidad de Stanford,estimó el coste a California hasta 2.500 millones de dólares. Para los expertos en ciberseguridad como yo, el apagón fue una señal de lo precaria que es nuestra dependencia de la electricidad y de lo mucho que tenemos que temer ante los ciberataques.
Piense en lo que pasaría si un ciberataque derribara la red eléctrica de Nueva York o incluso de una parte más grande del país. Como vimos en California, la gente podía arreglárselas durante unas horas, quizás unos días, pero ¿qué pasaría si la interrupción durara una semana o más? Si una empresa de servicios públicos en una zona de alta densidad de población fue blanco de un ciberataque, ¿es factible o deseable evacuar a millones de personas?
Las preguntas que todos deberíamos hacernos incluyen: ¿Qué hacemos si se infringe la red eléctrica y hace que los generadores de respaldo con arranque eléctrico sean inutilizables? ¿Cuál es el plan de respaldo del plan de respaldo? ¿Qué pasa con nuestro suministro de alimentos? ¿Nuestro suministro de agua? ¿Nuestros sistemas de alcantarillado? ¿Nuestros sistemas financieros? ¿Nuestra economía? Responder a estas preguntas requiere pensar a nivel de sistemas sobre cómo está todo conectado y tener en cuenta las interdependencias. Por ejemplo, los hospitales pueden tener generadores de respaldo. Pero, ¿qué hay de la línea de suministro para repostar? Si las estaciones de repostaje necesitan electricidad para hacer funcionar las bombas, ¿cuál es el plan?
Planificar para lo inesperado
Todos entendemos que hay ciertas catástrofes que pueden volver a ocurrir, como huracanes o incendios forestales. Pero, ¿cómo se prepara para una catástrofe que nunca se había producido antes? No se nos da bien abordar cosas que nunca habíamos visto antes.
Tenga en cuenta lo que ocurrió en 2017 cuando un área deWyoming fue azotada por una fuerte tormenta de viento que derribó muchas líneas eléctricas grandes. Se tardó alrededor de una semana en restablecer la energía debido a las fuertes nevadas y al suelo congelado. Al principio, el tratamiento de agua y aguas residuales continuó gracias a los generadores de respaldo. Pero las bombas que trasladaban las aguas residuales de las zonas bajas a las plantas de tratamiento de terrenos más altos no se diseñaron para tener generadores, ya que podían contener varios días de residuos. Después de tres días sin electricidad, empezaron a dar marcha atrás. Luego hubo que cortar el agua para evitar que las aguas residuales acumuladas llegaran a las casas y hubo que evacuar la ciudad. Como portavoz del Jackson Hole Mountain Resortdijo: «Probablemente sea el tiempo más largo que tengamos que cerrar… de nuestra historia». Nadie había previsto tal escenario o secuencia de acontecimientos.
La tormenta de viento de Wyoming y las amenazas de incendio en California ofrecen a los investigadores de ciberseguridad pruebas reales sobre qué esperar cuando no sabemos lo que puede pasar. No nos hemos enfrentado a un ciberataque a gran escala. Según las conversaciones que he mantenido con expertos en la materia, no estamos tan preparados para un ciberataque importante como Wyoming para la tormenta de viento y California para la amenaza de incendio, independientemente de si se refiere a nivel regional, municipal o del sector privado. Como me describió el profesor Lawrence Susskind, del Departamento de Sistemas Urbanos del MIT: «[En un ciberataque hoy] millones [de personas]… podrían quedarse sin electricidad, agua, transporte público ni eliminación de residuos durante semanas (o incluso meses)».
Resulta que semanas y meses son buenas estimaciones del tiempo que podría tardar en volver a funcionar tras un ataque a un servicio público. Un ciberataque puede generar disrupción en un sistema informático tradicional manipulando el software o borrando datos, pero el ordenador físico sigue intacto y, con varios grados de esfuerzo, se pueden restaurar el software y los datos. Pero un sistema ciberfísico, como un generador o un equipo similar de control informático, puede destruirse, es decir,hecho para explotar. Reparar o sustituir estos sistemas puede llevar semanas o incluso meses, especialmente si se destruyen muchos al mismo tiempo, ya que los sistemas y piezas de repuesto suelen ser escasos y, a menudo, se fabrican a medida.
Evaluar nuestro riesgo
Algunos me han preguntado por qué no se ha producido ya un ciberataque tan importante de esta naturaleza. Creo que hay tres condiciones necesarias para que se dé una: oportunidad, capacidad y motivación.
Oportunidad : Con demasiada frecuencia, las fábricas y las empresas de energía creen que si no están conectadas directamente a Internet están a salvo de los ataques. Este no es el caso. Hay muchas maneras de «cerrar» esa brecha y lanzar un ciberataque, como descubrieron los iraníes cuando su planta de enriquecimiento de uranio fue atacada por Stuxnet. Confiar en este método de «protección» ha creado oportunidades y oportunidades para los ataques en todo el mundo.
Capacidad : Dado que puede haber formas de «entrar», ¿tienen los atacantes la capacidad de causar daño? También hay muchas capacidades disponibles. Aunque se ha centrado mucha atención en los principales actores estatales, como China, Rusia, Corea del Norte e Irán, la realidad es que un atacante no necesita miles de millones de dólares ni miles de personas. Como yo a veces digo, «Los buenos están mejorando, pero los malos se están haciendo más malos más rápido». Las herramientas para llevar a cabo los ataques están cada vez más disponibles en el Dark Web a un coste cada vez menor, incluidas las ciberarmas robadas a la NSA y la CIA. Por ejemplo, elAtaque a la red eléctrica de Ucrania utilizó técnicas de suplantación de identidad, control industrial y borrado de discos que estaban disponibles en el mercado negro, muchas de las cuales fueron robadas anteriormente a la NSA.
Motivación : Hasta ahora, la motivación ha sido nuestra principal gracia salvadora. ¿Qué gana el atacante al cerrar la red eléctrica de otro país? En el caso de una guerra cinética (por ejemplo, un ataque con misiles), la posibilidad de represalias actúa como un fuerte elemento disuasorio. Los satélites detectan fácilmente el origen del misil, y es probable que pronto se produzcan represalias. Pero esos frenos y contrapesos no funcionan tan bien en la ciberguerra, donde la negación plausible —o incluso desviar la culpa a otra persona— es tan fácil. Como El New York Times publicado recientemente, «Recientemente se descubrió que grupos vinculados a las agencias de inteligencia rusas […] se metían en la red de una unidad de hackeo iraní de élite y atacaban a gobiernos y empresas privadas de Oriente Medio y Gran Bretaña, con la esperanza de que se culpara a Teherán de los estragos». Confiar en la falta de motivación y suerte no es una forma segura de seguir adelante.
Cómo prepararse mejor
Hay al menos tres problemas con la forma en que los hemos abordado en el pasado que deben cambiar:
Conducir hacia adelante mirando por el espejo retrovisor: Es un viejo cliché, pero muy apropiado. Por lo general, centramos nuestras acciones futuras en respuesta al último ciberataque. Aunque eso ayuda a evitar que se repitan en el futuro, lo cual es bueno, no sirve de mucho para abordar el ciberataque que nunca habíamos visto antes. En algunos casos extraños, los atacantes aprovecharon lo que sabían que había hecho su objetivo para responder a su último ciberataque y hacer que su siguiente ciberataque fuera aún más eficaz. Tiene que haber un pensamiento visionario: no solo qué tiene pasó, pero qué podría suceder.
Sentirse abrumado por abordar las causas más que los impactos: Al tratar de pensar en los nuevos ciberataques y prepararnos para ellos, solemos empezar por pensar en cómo podría originarse el ciberataque. En cambio, debemos centrarnos en lo que podemos hacer para minimizar los daños. NuestroMétodo de análisis de ciberseguridad , desarrollada con mi colega Shaharyar Khan, comienza con centrarse en lo que estamos intentando prevenir y, luego, en qué controles o instalaciones pueden minimizar la posibilidad de que se produzca ese resultado. Por ejemplo, como parte de un análisis de ciberseguridad del sistema central de servicios de una empresa, nuestro equipo determinó que un relé con un coste aproximado de 6.000 dólares podría protegerse contra un ciberataque dirigido al regulador automático de tensión (AVR) de un generador. Esta mejora evitaría daños directos al generador por valor de 11 millones de dólares, además de evitar posteriores cortes, daños por el coste de las reparaciones y la pérdida de ingresos. Por supuesto, si se atacaran muchos de esos generadores al mismo tiempo, el consiguiente corte de energía generalizado sería sustancial y prolongado.
Sin tener en cuenta las interdependencias ignoradas y las propiedades únicas de los sistemas ciberfísicos: Según nuestras experiencias pasadas, la mayoría de las personas, especialmente los ingenieros que trabajan con sistemas físicos, asumen que los fallos son independientes. Es decir, por supuesto, existe la posibilidad de que el generador #1, que es un dispositivo mecánico, falle en algún momento, pero es poco probable que el generador #2 falle al mismo tiempo y es muy poco probable que los generadores #1, #2 y #3 fallen al mismo tiempo, etc. Teniendo en cuenta las propiedades físicas, esas suposiciones son razonables. Pero un ciberataque que destruya el generador #1 puede destruir todos los demás con la misma facilidad al mismo tiempo. Nuestra preparación para emergencias no solo debe tener esto en cuenta, sino también planificarlo.
Lo que nos arriesgamos al no imaginarnos lo desconocido
Para ilustrar los riesgos a los que nos enfrentamos si no planificamos, consideremos de nuevo los apagones de California de 2019;248 hospitales estuvieron en regiones que se quedaron sin energía. «No puedo exagerar la calamidad que estos acontecimientos causan a nivel de vecindario. Cientos de centros de salud no tienen generadores de respaldo», dijo Jack Brouwer, profesor de ingeniería y director del Centro Nacional de Investigación de Pilas de Combustible de la Universidad de California en Irvine. Haciendo referencia almuertes causado por incendios forestales anteriores en California, dijo: «Si se queda sin electricidad durante una hora, está bien, pero durante un par de días; esas vidas cuentan tanto como las que se perderían en un incendio».
Es hora de imaginar lo inimaginable, y los cortes de energía en California nos han dado una pequeña idea de lo que podría suceder si no nos preparamos. A medida que nos enfrentamos a la creciente incertidumbre e inseguridad mundiales, necesitamos una forma de pensar más innovadora y a nivel de sistemas, y un sentido de urgencia para mitigar el impacto de un ciberataque importante antes de que se produzca.
Reconocimiento: Esta investigación se financió, en parte, con fondos de los miembros del consorcio Cybersecurity at MIT Sloan (CAMS).