Hackear una planta química

Dado que no hay nada imposible de hackear en este mundo, ¿por qué las plantas químicas deberían ser la excepción?

Los ciber-físicos e investigadores de seguridad Marina Krotofil y Jason Larsen presentaron su estudio sobre hackear plantas químicas en Black Hat and DEF CON, una fascinante conferencia.

Parece que hackear una planta química es un tema increíble. Especialmente cuando la gente puede hackear, por ejemplo, el enriquecimiento de las centrifugadoras de uranio, el rifle de un francotirador, o varios Jeep a la vez, no hay duda de que otras personas pueden hackear una planta química. No hay nada imposible de hackear en este mundo; así que, ¿por qué las plantas químicas deberían ser la excepción?

En su conferencia, Krotofil entró en profundidad sobre qué podrían o deberían hacer los hackers después de tener el control de la red informática de la planta. La primera lección de esta investigación: las consecuencias del ciberataque no tienen que ser obvias.

Hay múltiples formas de aprovecharse de una planta química hackeada. Sólo una de ellas es realmente evidente: los hackers en cuestión dejan la planta fuera de servicio. En este caso, las consecuencias serían difíciles de pasar por alto.

La forma más refinada de hackear sería ajustar cuidadosamente los procesos químicos con el fin de hacer la planta menos rentable y, por lo tanto, menos competitiva. Por ejemplo, los hackers pueden crear nuevos proceso químicos para reducir la calidad de los productos y/o tasa de producto. Cuando hablamos de química, el parámetro más importante es la pureza.

Por ejemplo, el paracetamol con un 98% de pureza cuesta 1 euro por kilogramo (aproximadamente 1,11 $). Al mismo tiempo, el paracetamol con un 100% de pureza cuesta más de 8.000 euros por kilogramo. Esta reducción es el objetivo claro para un hacker que quiere ganar dinero a costa de los competidores dueños de las plantas.

[slideshare id=49122174&doc=phdays2015v0-150608131657-lva1-app6891]

Pero no es tan fácil aprovecharse de un sistema cibernético físico hackeado, y ésta es la segunda lección que podemos aprender de esta investigación. La planta es un tema muy complejo, y muchos de sus procesos físicos y químicos dependen unos de otros. Si algo se cambia, puede tener consecuencias. Con el fin de alcanzar ciertas metas, hay que entender todas estas interrelaciones.

En primer lugar, se necesita un químico, uno bueno para ser exactos. En segundo lugar, se necesita una fábrica propia de productos químicos para llevar a cabo experimentos. Por cierto, éste fue el caso de los desarrolladores de Stuxnet, quienes utilizaron centrifugadoras de enriquecimiento de uranio real durante el desarrollo de este famoso gusano informático.

Si no te puedes permitir tu propia fábrica de productos químicos, entonces necesitas construir un modelo de software y realizar experimentos desde ahí. También tendrás que descubrir qué equipo y software tendrás que utilizar. Sorprendentemente, en este caso la mejor arma de un hacker es Internet en conjunto, y las redes sociales en particular: es difícil imaginar lo que los empleados pueden no publicar ahí. Lo que sin duda hacen, son posts con imágenes o capturas de pantalla con información realmente útil.

Incluso después de obtener un buen químico, todos los modelos de información y software necesarios, no puedes estar seguro de que realmente puedes controlar los procesos químicos deseados. El tema es que las plantas químicas no están diseñadas para ser hackables; por ejemplo, no se han incorporado instrumentos de diagnóstico a diferencia de los ordenadores, que casi siempre lo tienen.

Es por eso que los ajustes deben ser guiados por datos indirectos. Por ejemplo, no se puede medir la pureza del producto en sí, pero se puede estimar por medio de la temperatura o presión. La complejidad de hackear una planta química apenas puede sobrestimarse. Sin embargo, si hay tiempo y recursos, todo es posible.

En palabras más simples; por un lado, es bastante difícil hackear sistemas ciber-físicos complejos. Por otro lado, es posible hacerlo, y si este es el caso, no es fácil para los defensores detectar una actividad maliciosa.

Como Kim Zetter escribió en el libro “Countdown to Zero Day” sobre Stuxnet, originalmente este gusano informático no fue diseñado para destrozar las centrifugadoras de enriquecimiento de uranio, sino para reducir la “calidad” del combustible nuclear. Y si una persona muy poderosa fuera lo suficientemente paciente y no insistiera en un efecto más rápido, el malware podría permanecer inadvertido.

Consejos