La primera vez que Scott Lunsford se ofreció para intentar hackear una estación nuclear, le dijeron que eso iba a ser sencillamente imposible. Así de tajantes y rotundos se mostraron los propietarios de la planta en relación a la posibilidad de que su sistema pudiese ser accedido desde internet. Pero Lunsford, un ingeniero en sistemas de seguridad de IBM demostró rápidamente lo contrario.

“Resultó uno de los test de intrusión más sencillos que he hecho nunca”, dijo Lunsford.

“El primer día, ya había penetrado en la red. En una semana estabamos controlando la central nuclear. Pensé, cielos, esto es un problemón”.

Cualquiera puede hacerse una idea de las dimensiones que podría tener como consecuencia un ataque malintencionado de otro tipo de hackers, o de hackers de otros países que no simpatizan excesivamente con Estados Unidos.

Analizando la dimensión del ataque, Lunsford comentó, que aún cuando la normativa de seguridad obligada y estipulada por la Comisión Reguladora Nuclear estaba implementada y no hubiera permitido un desastre nuclear, lo cierto es que el acceso a la red local de la central nuclear, hubiese permitido sabotear el funcionamiento de la red, dejando sin suministro eléctrico a gran parte del estado. Hubiese sido tan sencillo como accionar el indicador de cierre de una válvula.

El sistema que Lunsford hackeo, está gestionado por el software de Supervisión Control y Adquisición de Datos, denominado SCADA. Un software desarrollado por compañías como Siemens, ABB, Rockwell Automation y Emerson.

Los sistemas basados en SCADA, en Estados Unidos, son utilizados para controlar infraestructuras como  la filtración y distribución del agua, los trenes y los subterráneos, los oleoductos de gas natural, y prácticamente cada sistema de fabricación industrial. Y como algunos profesionales de la seguridad están precisando, estas debilidades están conectadas cada vez más con Internet, dejando gran parte de la infraestructura crítica de América expuesta a cualquier persona que con un conocimiento moderado y un ordenador portátil puede poner en riesgo al país.

A principios de mes en una conferencia hacker, DefCon, el ingeniero en seguridad Ganesh Devarajan hizo una presentación detallando como desarrolladores pueden encontrar agujeros de seguridad en los sistemas basados en SCADA utilizando la técnica de ‘fuzzing’, que consiste básicamente en machacar los inputs de entrada de datos del sistema, con enormes cantidades de datos, que hagan al sistema fallar, y que permita entonces a los hackers inyectar sus propios comandos.

“Son bugs sencillos, pero muy peligrosos”, dijo Devarajan. Hace tiempo Devarajan, advirtió a los fabricantes de SCADA de todos los defectos que él había encontrado. Expuso un escenario en el que terroristas echasen contaminantes a los depósitos de agua, mientras el sistema SCADA, intervenido por hackers, mostrase unos datos completamente correctos en el sensor de calidad del agua.

“Si alguien puede proporcionar datos falsos al sistema entonces los hackers se han hecho con el sistema”.

La amenaza sobre los sistemas basados en SCADA es algo que preocupa desde hace tiempo en Estados Unidos, y así se hizo constar después de los ataques terroristas del 11 de Septiembre, en el que se auditó en términos generales la seguridad del país en relación al ciberterrorismo.