Por Thomas Fox-Brewster

Dos días antes de Navidad, las luces se apagaron en toda la región de Ivano-Frankivsk, en Ucrania. Al menos 225,000 clientes se quedaron sin electricidad, como resultado de los ataques cibernéticos coordinados a tres redes eléctricas.

Los piratas informáticos lograron que los empleados del servicio público descargaran software malicioso –llamado BlackEnergy– que estaba vinculado a agencias de espionaje rusas y que había sido usado para poner a prueba a las compañías eléctricas en todo el mundo, incluyendo las de Estados Unidos. El día del ataque apagaron de forma remota cerca de 60 subestaciones, insertaron un nuevo código que evitó que el personal pudiera conectarse de nuevo e incluso “bombardeó” por teléfono a la empresa pública para presionar a los empleados para que reestablecieran el servicio.

Los ucranianos afirmaron que era la primera vez que una red de energía era derribada por los hackers y señalaron rápidamente a Rusia. Robert M. Lee se mostró escéptico. En medio de los preparativos para una boda en Alabama, el ex oficial de la división de guerra cibernética de la Fuerza Aérea estadounidense necesitaba pruebas. Sólo había habido dos ataques destructivos conocidos a infraestructura crítica. Él y varios colegas de la comunidad cibernética de EU se coordinaron con sus contactos dentro de Ucrania para recuperar el malware de la red. Lee fue el primero en informar sobre el malware después de revisar la información pública y analizar los sistemas de control de la red. Pronto resultó evidente: Era algo serio, aunque Lee evita culpar a Rusia. “Lo que me sorprendió es la naturaleza audaz del ataque. Fue tan coordinado. Todas las cosas que habíamos visto antes parecían un intento de recopilar inteligencia. Esto parecía algo militar, y eso es un poco alarmante”.

PUBLICIDAD

Pero, al menos, Lee sabía que había tomado la decisión de carrera correcta. El verano previo al ataque de Ucrania, Lee renunció a la Fuerza Aérea para convertirse en CEO de tiempo completo de Dragos Security, la que cofundó en agosto de 2013. Su software CyberLens tiene como objetivo hacer a los operadores de sistemas de control industriales menos ignorantes sobre qué o quién está en su red . Los intrusos están por todas partes: Un informe publicado en Estados Unidos en diciembre citó 295 ataques a la infraestructura crítica nacional (tales como aeropuertos, túneles y refinerías) entre octubre de 2014 y septiembre de 2015, frente a 245 del año anterior. La autoridades creen que la cifra es mucho mayor pero muchos de los incidentes no son denunciados.

La seguridad industrial es uno de los puntos ciegos del software de seguridad cibernética tradicional. Los sistemas de control industrial son muy distintos a la tecnología de la información estándar, lo que hace que todo software de seguridad entienda una abrumadora cantidad de comandos en lenguajes de comunicación anticuados y esotéricos diseñados por ingenieros que no tenían idea de que necesitarían asegurar esa infraestructura de los piratas informáticos con más talento en el mundo. Cyberlens puede hacer justo eso. Registra lo que está pasando y detecta y alerta sobre cualquier actividad anormal.

Incidentes como el hackeo de Ivano-Frankivsk alimentan un pequeño boom en la ciberseguridad industrial, un mercado que se espera crecerá entre 8,000 y 11,000 millones de dólares para 2019. El presupuesto cibernético de de 19,000 mdd de la administración de Obama es 35% más grande que el año pasado e incluye un enorme refuerzo a la red eléctrica y de transporte. La seguridad es también un foco en un plan de modernización de 220 mdd de la red anunciado en enero por el Departamento de Energía.

Compitiendo con Dragos y los grandes nombres habituales se encuentra la firma israelí Indegy, formada por tres exintegrantes de Talpiot, el brazo científico del ejército israelí, y respaldados por el veterano inversionista de la ciberseguridad Shlomo Kramer. Indegy levantó 6 mdd en 2014 y su CEO Barak Perelman dice que tiene entre 10 y 20 clientes, a través de una amplia gama de mercados verticales: petróleo y gas, fabricación de productos químicos, plantas de energía, sólo por nombrar algunos (La mayoría están preocupados por las amenazas internas, dice Perelman, “empleados que no recibieron un aumento en el último año”).

Lee rechazó seis hojas de términos de financiamiento, cuyo valor oscila entre 6 y 11 mdd, debido a que el miembro de la lista Forbes de 30 Under 30 años quiere la libertad de decirle a los clientes la verdad sobre lo que necesitan y lo que no. Sus 18 clientes, a los que no se puede nombrar, incluyen una gran firma de seguridad cibernética y a grandes empresas de servicios públicos compañías de petróleo y gas. ¿Ingresos? Enmudece. “Estamos bien, en números negros. Es un poco raro. Nunca hemos tomado préstamos, nunca tomamos financiamiento. Mi gasto en marketing y ventas es cero, y soy muy feliz.”

La supervisión de la red es sólo un paso en la protección de la infraestructura crítica. Los operadores también deben reconocer los comportamientos de apps y código maliciosos, y bloquearlos. Una multitud de actores como la rusa Kaspersky Lab, McAfee (propiedad de Intel) y GE venden soluciones de este tipo. Con el tiempo, el software de seguridad será capaz de predecir cómo ocurrirán los ataques, pero la ciencia es aún incipiente. El Oak Ridge National Laboratory del Departamento de Energía de EU ha creado una herramienta llamada Hyperion que detecta lo que es una pieza de software puede hacer sin correr el código. Oak Ridge licenció Hyperion el año pasado a una consultora privada para que lo lanzara al mercado.

Puede que Dragos sea pequeña, pero Lee tiene experiencia más allá de sus años. Se graduó en la Academia de la Fuerza Aérea, siguiendo los pasos de sus padres en el Éjercito. Fue enviado a Alemania, donde ayudó a trabajar en la seguridad de la red de los drones de la Fuerza Aérea. Mientras estaba allí, un avión no tripulado de vigilancia de la CIA desapareció en Irán. Lee no puede ofrecer detalles sobre lo sucedido, pero eso hizo que despertara su interés por la seguridad de aviones no tripulados en general, y comenzó a investigar de forma independiente. Ni Estados Unidos ni Irán publicaron un comunicado oficial, pero algunas agencias de noticias informaron que Irán había usado la suplantación de GPS para engañar al avión no tripulado y hacer que aterrizara en suelo iraní. Otros drones pueden haber sufrido un destino similar. “A veces perdemos drones”, dice Lee. “Pero en realidad no hablas de cómo ocurre eso”.

Lee se mudó a otra agencia de inteligencia en Alemania para ayudar al Pentágono a entender cómo los hackers patrocinados por el Estado atacaban a Estados Unidos. Lee calculó correctamente que los enemigos del país se enfocarían en la infraestructura crítica. “Fue un éxito aplastante, vimos todo tipo de intrusiones” de los piratas informáticos más avanzados del planeta, dice. “Las redes se convirtieron en laboratorios, lo que resultó preocupante.” Terminó su carrera bajo el mando de CYBERCOM, el centro de operaciones de Estados Unidos en el campo de batalla digital, llevando a cabo trabajo ofensivo, aunque guardó silencio sobre los ataques en los que tomó parte.

“Trabajar con él es un poco como tener una pequeña agencia de inteligencia trabajando contigo. Es una potencia en términos de investigación”, dice Thomas Rid, profesor en el departamento de estudios de guerra en el Kings College de Londres, donde Lee trabaja en su doctorado de forma remota.

Lee pudo haberse quedado en el Ejército, pero después de conocer en Alemania a Justin Cavinee y Jon Lavender, otros programadores de la comunidad de inteligencia, los convenció de programar CyberLens. Con una gran preocupación por proteger su tierra natal, Lee planea llevar la lucha por una mejor seguridad nacional hasta la esfera de la política pública. Como un miembro no residente en el think tank New America, otro de los proyectos en los que participa, Lee presiona por encontrar enfoques creativos para conseguir que las empresas de energía apuntalen  sus defensas, lo que sugiere que los créditos fiscales podrían proporcionar el estímulo que tanto necesita.

Mientras tanto, los países han permitido el surgimiento de un mercado gris en medio de vulnerabilidades de software conocidas en las redes de infraestructura crítica. Algunas vulnerabilidades se venden a los gobiernos por tan poco como 4,000 dólares. (Un error en un iPhone puede costar 1 mdd.) Las empresas de servicios públicos las compran con fines defensivos, como arreglar máquinas descompuestas. Pero los críticos del comercio de vulnerabilidades, incluyendo a Lee, dicen que a menudo también se venden a actores ofensivos. O quizá la mayor preocupación, dice, sea la falta de una respuesta mundial coherente para el ataque en Ucrania. “Se ha permitido que sea algo admisible”, dice Lee. “Eso es peligroso.”

 

Siguientes artículos

Diabetes en México cuesta 3,872 mdd
Por

El 7 de abril es el Día Internacional de la Salud. Este año la diabetes será el tema central, debido al impacto que tien...