Las centrales nucleares desatienden el riesgo de ataques inform¨¢ticos

Las centrales nucleares se ocupan tanto de los riesgos de seguridad f¨ªsica que desatienden su protecci¨®n contra los ciberataques. Esta es la conclusi¨®n principal de un estudio internacional con la opini¨®n de 30 expertos que trabajan o han trabajado para estas instalaciones.

Todos los consultados en el informe?Ciberseguridad en las Instalaciones Civiles Nucleares por el?Real Instituto de Asuntos Exteriores de Reino Unido proceden de pa¨ªses con una red importante de centrales nucleares. En su mayor¨ªa, de Reino Unido, Jap¨®n, Francia y Estados Unidos, pero tambi¨¦n de otras potencias en energ¨ªa nuclear, como Rusia, Ucrania, Alemania y Jap¨®n.

Contra la creencia de que todas las instalaciones nucleares est¨¢n aisladas de Internet, la autora del informe, Caroline Baylon, ha indicado que "est¨¢n conectadas a Ia Red la mayor¨ªa de las econom¨ªas avanzadas, como Reino Unido o Estados Unidos". No obstante, disponen de redes virtuales privadas, muy habituales en grandes empresas y organismos, que codifican la informaci¨®n y la protegen de terceros. Estas redes deben estar separadas de las que operan f¨ªsicamente la central nuclear.

El informe desmonta la creencia de que todas las centrales nucleares est¨¢n aisladas de Internet

Para el experto en ciberseguridad Arturo Ribagorda, catedr¨¢tico de la Universidad Carlos III de Madrid, las redes privadas no ofrecen garant¨ªas suficientes de protecci¨®n: "Al fin y al cabo est¨¢n conectadas a Internet y, por tanto, muestran tambi¨¦n vulnerabilidades; permiten introducir, por ejemplo, informaci¨®n maliciosa", ha se?alado. Por fortuna, es preciso disponer de conocimientos "muy sofisticados" para burlar estos sistemas, que suelen ser espec¨ªficos para cada central.

La autora del informe matiza que la mayor¨ªa de los sistemas que gestionan una central solo permiten que la informaci¨®n salga y no que se introduzca desde fuera. Destaca tambi¨¦n la escasez de conocimiento p¨²blico sobre los ciberataques en las centrales. De hecho, el informe ha tenido que mantener confidenciales los nombres de los expertos consultados para obtener su testimonio.

Ir¨¢n y Rusia

Frente a los casos de Reino Unido y Estados Unidos, las centrales de Ir¨¢n y Rusia est¨¢n totalmente desconectadas de la Red, pero esa separaci¨®n no les ha evitado varios episodios de cibersabotaje. Un gusano inform¨¢tico, Stuxnet, se introdujo?¡ªprobablemente a trav¨¦s de un pendrive¡ª en dos centrales iran¨ªes en 2010 y en una rusa, y logr¨® infectar sus sistemas.

El informe alerta en especial de los riesgos de ciberseguridad fuera de los horarios normales de trabajo y, aunque no entra a detallar cu¨¢les son las medidas necesarias, precave ante la falta de formaci¨®n y de unos criterios generales de ciberseguridad para las centrales. ¡°Existe una gu¨ªa, que aplican los pa¨ªses pertenecientes a la Agencia Internacional de Energ¨ªa At¨®mica (AIEA), pero es muy b¨¢sica y, adem¨¢s, no es vinculante¡±, ha apuntado Baylon.

"Ahora es cuando [los gobiernos] empiezan a darse cuenta de los riesgos", ha a?adido.?Hasta junio de este a?o en Viena, la AIEA no hab¨ªa convocado nunca un?gran encuentro internacional sobre ciberseguridad en estas instalaciones.

El primer ciberataque del que se tiene constancia, en 1992, llev¨® al Consejo Ruso de Seguridad a afirmar que podr¨ªa haber acarreado "un desastre similar al de Chern¨®bil"

El informe no establece si existe un riesgo creciente de ciberataques a las centrales, pero constata un aumento de los incidentes en las redes de las empresas a las que suministran electricidad.

El Consejo de Seguridad Nuclear de Espa?a ha se?alado a EL PA?S que ning¨²n sistema de las centrales espa?olas est¨¢ conectado a Internet. No ha facilitado informaci¨®n de posibles ciberataques contra estas instalaciones.

La directiva europea sobre Seguridad de las Redes e Informaci¨®n (m¨¢s conocida como directiva NIS), pendiente de aprobaci¨®n, obligar¨¢ a que todas las grandes instalaciones pongan en marcha un an¨¢lisis de riesgos muy detallados y precisos.

Para Manel Medina, director del Equipo de Seguridad para la Coordinaci¨®n de Emergencias en Redes Telem¨¢ticas de la Universidad Polit¨¦cnica de Catalu?a, este informe pone de manifiesto que "los propios administradores de estos servicios y sus directivos no son conscientes de los riesgos que un ciberataque podr¨ªa tener para ellos". Medina se?ala que lo habitual es que este tipo de ataques se produzca de una forma "inconsciente", al infectarse con programas esp¨ªa los dispositivos del personal de las instalaciones. Una vez conectados esos dispositivos al sistema de la central, lo contaminan y abren las puertas a los programas maliciosos. ??

Uno de los mayores incidentes conocidos hasta la fecha se produjo en 2010 en dos centrales nucleares iran¨ªes

"Hay un enorme desconocimiento de en qu¨¦ consisten los ciberataques a las centrales", apunta Caroline Baylon, "porque [estas instalaciones] temen que se sepa demasiado sobre sus sistemas de seguridad. Sin embargo, esto impide tambi¨¦n que los expertos puedan pensar en mejorar los mecanismos de protecci¨®n". ?

Grandes ciberataques

El primer ataque inform¨¢tico conocido contra una central nuclear data de 1992. Ocurri¨® en Ignalina (Lituania). Un t¨¦cnico introdujo un virus dentro del sistema de control de la central, supuestamente para llamar la atenci¨®n de lo vulnerable que era. No tuvo consecuencias m¨¢s all¨¢ de la detenci¨®n del experto, pero un alto representante del Consejo Ruso de Seguridad afirm¨® que la brecha de seguridad podr¨ªa haber acarreado "un desastre similar al de Chern¨®bil".

En 2003, la central nuclear de David-Besse (Ohio, EE UU) sufri¨® la infecci¨®n de un gusano Slammer, aprovechando una vulnerabilidad del software de la base de datos. El gusano infect¨® la red de la compa?¨ªa el¨¦ctrica que operaba la central, First Energy Nuclear, que a su vez estaba conectada al sistema inform¨¢tico SCADA. Este tipo de sistemas opera de manera remota la planta. El gusano consigui¨® bloquear durante cinco horas el sistema que recog¨ªa los datos de la refrigeraci¨®n, los sensores de temperatura y los de radiaci¨®n. Por suerte, el reactor no estaba operativo en aquel momento.

Aunque no puede considerarse un ciberataque, el informe incluye un incidente en 2006, en el que una unidad de la planta de Browns Ferry en Alabama (EE UU) tuvo que ser desconectada de manera manual para evitar la fusi¨®n del reactor. Se trat¨® de un error del sistema inform¨¢tico en la red Ethernet (que distribuye los datos a los distintos elementos). Una sobrecarga en el tr¨¢fico de datos hizo fallar las bombas de recirculaci¨®n y otros dispositivos cruciales. Los hackers podr¨ªan haber aprovechado esa debilidad del sistema, de haber estado dentro de ¨¦l en ese momento.

En 2008, la planta de Hatch de Georgia (EE UU) sufri¨® un par¨®n general a causa de la mera actualizaci¨®n del ordenador de un ingeniero que estaba conectado a la red de control industrial de la planta. El sistema interpret¨® el error como una falta de agua para refrigerar el n¨²cleo del reactor y lo apag¨®.

Uno de los mayores incidentes conocidos hasta la fecha se produjo en 2010 en dos centrales nucleares iran¨ªes, Bushehr y Natanz. Se vieron infectadas por un gusano inform¨¢tico, Stuxnet, probablemente introducido en sus sistemas a trav¨¦s de un simple pendrive. Este gusano burla Windows y se arroga privilegios de administrador. Si el software que infecta est¨¢ conectado a un sistema SCADA, podr¨ªa haber controlado indirectamente las centrifugadoras que se utilizan para enriquecer el uranio y hacer que girasen muy r¨¢pido, hasta romperlas. El virus, adem¨¢s, es capaz de enga?ar al sistema haci¨¦ndole creer que todo va bien.

Stuxnet fue tambi¨¦n responsable de un incidente en Rusia en torno a 2010, hecho p¨²blico por el due?o de la empresa antivirus Kaspersky Lab, Eugene Kaspersky, aunque el nombre de la planta nuclear no trascendi¨®.

El ¨²ltimo gran ciberataque conocido tuvo lugar en 2014. Unos hackers robaron datos de la red comercial de Korea Hydro and Nuclear Power, la empresa que opera 23 centrales en Corea del Sur, a trav¨¦s de emails que suplantan identidades para robar datos personales de sus empleados. Los piratas obtuvieron as¨ª los manuales y los proyectos de dos centrales, los planos de distribuci¨®n el¨¦ctrica, los datos de unos 10.000 empleados y los c¨¢lculos de exposici¨®n a la radiaci¨®n de las poblaciones cercanas. Luego, los difundieron en Twitter y, m¨¢s adelante, amenazaron con un rotundo mensaje ¡ª"destrucci¨®n"¡ª a la compa?¨ªa si no paraba tres de sus centrales. El gobierno de Corea del Sur se neg¨®.

Los delicuentes han intentado extorsionar de nuevo a la compa?¨ªa en marzo de este a?o, exigi¨¦ndole dinero a cambio de no publicar m¨¢s datos comprometedores. El gobierno surcoreano culpa directamente a Corea del Norte de los ataques.