Industroyer, el malware que ataca a la industria 4.0

Por Alan García - junio 13, 2017    Eset, Industria 4.0, malware, Industroyer,
Ucrania.jpg
Hay un nuevo concepto denominado la industria 4.0, el cual se refiere a la interconexión de las nuevas infraestructuras industriales con sensores y tecnologías IoT (Internet de las cosas), sin embargo, esto viene acompañado de retos para los administradores de dichas infraestructuras, quienes deben resguardar la red en la que se comunican.
 
El primer caso de ataque a una infraestructura crítica de esta naturaleza se dio en Ucrania, cuando en 2016 un ciberataque tomó las instalaciones de una central eléctrica, cortando el suministro eléctrico en toda la capital (Kiev) durante una hora.
 
A partir de este punto, las empresas dedicadas a la seguridad informática comenzaron a buscar códigos que tuvieran las mismas características y, que representan un riesgo para la Industria 4.0.
 
En consecuencia, ESET, la firma especializada en seguridad, recientemente publicó un informe reportando la aparición de Industroyer, un malware capaz de controlar los interruptores de una subestación eléctrica de manera remota.
 
El reporte de ESET hace hincapié en que la mayor cualidad de dicho malware radica en que éste se vale de los protocolos ya establecidos para la interconexión de las infraestructuras, es decir, usa los canales de comunicación de la manera en la que estaban diseñados para ser empleados.
 
“El problema es que los protocolos se crearon hace décadas, y en ese entonces la intención era que los sistemas industriales estuvieran aislados del mundo exterior. Como consecuencia, su comunicación no fue diseñada con la seguridad en mente. Esto significa que los atacantes no necesitaban buscar vulnerabilidades en los protocolos; todo lo que necesitaban era enseñarle al malware a 'hablar' esos protocolos", explica Camilo Gutiérrez Amaya, jefe del Laboratorio de Investigación de ESET Latinoamérica.
 
De esta forma, el malware establece comunicación con los switches del sistema, dispositivos con una función equivalente a la de los conmutadores analógicos de infraestructurasmas antiguas. En consecuencia, a través de ellos, los cibercriminales pueden detener la operación de una fábrica e incluso generar fallos en cascada y daños a la infraestructura.
 
Por último, se puede destacar la gran flexibilidad de este malware altamente personalizable, es decir, que puede conectarse a distintas infraestructuras y entornos con variaciones mínimas en su código. Además, está diseñado para borrar sus propias huellas, de forma que no pueda ser detectado con facilidad.