Manteniendo a los hackers fuera de la red eléctrica.

Keeping hackers out of the power grid.

A medida que aumentan los ataques a las subestaciones de la red -en un 70% solo en 2022, según el Laboratorio Nacional de Oak Ridge (ORNL) del Departamento de Energía-, los ingenieros allí están anticipando nuevos vectores de ataque y tomando medidas para protegerse de los hackers que los utilizan.

“Como investigadores, intentamos estar por delante de las amenazas cibernéticas, no simplemente reaccionar a ellas después de que ocurran”, dijo Peter Fuhr de ORNL, quien encabeza su grupo de Comunicaciones y Seguridad de la Red. El grupo de Fuhr demostró recientemente un nuevo método de usar una rueda de colores rotatoria para codificar subliminalmente los datos del sensor de la red en una alimentación de video, y utilizando una nueva clave de decodificación de la secuencia de Fibonacci que rota la rueda de colores para que cada lectura del sensor utilice un código de color único.

“ORNL ha inventado un método convincente para proteger nuestra infraestructura crítica de la red que se basa en la tecnología de encriptación conocida”, dijo Sterling Rooke, director ejecutivo (CEO) de Brixon Inc. (Baltimore), una empresa que fabrica instrumentos de monitoreo de energía eléctrica. “Con la aplicación adecuada, habrá una necesidad para esta implementación novedosa, una especie de estenografía que oculta información crítica dentro de las transmisiones de video en vivo existentes de las propias subestaciones de la red”.

Según Fuhr, la técnica traduce los códigos de caracteres encriptados que las empresas de servicios públicos utilizan actualmente para un código de color oculto en las transmisiones de video de las cámaras que ya monitorean la actividad de las subestaciones. EPB (anteriormente Electric Power Board, Chattanooga, TN) probó con éxito la técnica durante seis meses utilizando un enlace de red de área local virtual (VLAN) entre el centro de control de red central de EPB y sus subestaciones. “Probamos el concepto en el laboratorio de ORNL, luego extendimos las pruebas a una subestación cercana y, finalmente, instalamos el equipo de codificación/decodificación de colores tanto en la subestación de EPB como en su ordenador central de control”, dijo Fuhr. “Es la cosa real, probada y demostrada”.

• ¡Descubre cómo ChatGPT regala Windows 11 gratis!
• El mercado oculto de China para las poderosas tarjetas Nvidia de inteligencia artificial
• A bordo de usuarios en Amazon SageMaker Studio con roles IAM específicos para grupos de Active Directory.

Según Fuhr, EPB y la mayoría de las arquitecturas de control de procesos industriales en EE. UU. siguen las directrices NIST SP800-82 para todos los sistemas de control de procesos industriales (IPC), incluidas fábricas, manufactura y pruebas automatizadas, así como la red eléctrica. Su técnica de codificación/decodificación de color funcionará no solo para la comunicación de la red desde un ordenador central de control de la red a sus subestaciones, sino también para cualquier tecnología operativa (OT). De hecho, según Fuhr, varias empresas privadas ya han mostrado interés en licenciar su arquitectura de codificación de colores.

Históricamente, las conexiones a Internet han ofrecido un punto de entrada para que los hackers sofisticados inserten malware en las subestaciones, que son casi universalmente gestionadas por redes SCADA (control supervisado y adquisición de datos), que se remontan a la década de 1950, cuando la ciberseguridad ni siquiera era una palabra. Incluso hoy en día, las redes SCADA generalmente no requieren ninguna autenticación para ejecutar comandos de forma remota en un dispositivo de control. Para solucionar la mayoría de las vulnerabilidades, las directrices de NIST prohíben que el ordenador de control central, que generalmente está conectado a la informática corporativa, extienda la disponibilidad de Internet al sistema de control SCADA. Las arquitecturas SCADA compatibles con NIST están aisladas de Internet por cortafuegos que, en su lugar, ejecutan una red de área local virtual (VLAN) de varios canales hacia las subestaciones conectadas a sus ordenadores de control central. De la misma manera, la comunicación de datos desde los sensores y hacia los actuadores se ejecuta en diferentes canales de la VLAN. La mayoría de las operaciones son programables, pero se ejecutan de manera autónoma en subestaciones no tripuladas; los operadores humanos también pueden utilizar una interfaz gráfica de usuario (GUI) para la configuración y supervisión de nivel alto de máquinas y procesos remotos.

A lo largo de los años, a medida que la ciberseguridad se ha convertido en un problema cada vez más importante, se han agregado muchas modificaciones resistentes a los hackers a las arquitecturas SCADA. Sin embargo, estas medidas de seguridad no se han aplicado universalmente. El resultado ha sido numerosos ataques que se remontan a 2000, cuando un ex empleado descontento tomó el control del sistema de OT de alcantarillado del condado de Maroochy en Queensland, Australia, utilizando una sola computadora y un transmisor de radio. Desde la comercialización de Internet, muchos hackers han atacado sistemas de control de procesos, incluidos servicios públicos, obligando a los nuevos protocolos industriales SCADA (y de modernización) a segmentar sus redes con puertas de enlace, enrutadores, diodos de datos de un solo sentido y listas blancas que solo pasan tráfico de un solo tipo por cada canal VLAN. Además, los canales de VLAN solo son bidireccionales cuando es necesario, se segmentan para que solo puedan comunicarse con dispositivos con los que se pretendía comunicar, y no se les permite conectarse a la red corporativa central sin al menos un cortafuegos (para obtener la máxima seguridad, con dos cortafuegos a cada lado de un servidor DMZ (zona desmilitarizada) que reenvía las comunicaciones de manera segura).

Sin embargo, las redes de servicios públicos que no cumplen con las recomendaciones de NIST aún han sido explotadas, incluyendo un ataque multifacético a una computadora central de control de red, un ataque simultáneo de denegación de servicio en el sistema telefónico y malware descargado en redes SCADA en 2016, lo que provocó el apagón de siete subestaciones y dejó sin energía eléctrica a 80.000 clientes en Ucrania. Del mismo modo, el malware Triton, que ha sido rastreado hasta el Instituto Central de Investigación Científica de Química y Mecánica de Rusia por los White Hats (hackers de seguridad) de Mandiant, se cargó en una PC con Windows utilizada para configurar una instalación OT en Arabia Saudita, donde infectó un sistema de control de procesos SCADA en 2019. Una infección comparable ocurrió en 2011, cuando el gusano malicioso Stuxnet atacó con éxito centrifugadoras de uranio controladas por OT iraníes.

Hoy en día, las redes comerciales de OT en los Estados Unidos que siguen estrictamente las directrices de NIST son más seguras, pero según Fuhr, se están abriendo nuevos vectores de ataque a través de los numerosos medidores eléctricos “inteligentes” introducidos en los últimos años, que, por un lado, permiten a los operadores de la red gestionar la energía de manera más eficiente, pero, por otro lado, forman nuevas vulnerabilidades en la infraestructura de control OT.

“La proliferación de medidores inteligentes y dispositivos de automatización del hogar controlados por la red está fuera del alcance de nuestro proyecto de investigación actual, y, realísticamente, se utilizan una variedad de configuraciones de red, por lo que no existe una única respuesta, pero, para utilizar una frase sobreutilizada, la superficie de ataque ciertamente está aumentando,” dijo Fuhr.

Fuhr enfatiza que su técnica de codificación/decodificación de colores reduce la superficie de ataque al proporcionar nuevas capas de protocolos de seguridad para proteger la infraestructura de la red y otros OT. La adición de la técnica de codificación de colores de ORNL aumenta la dificultad de que los hackers intercepten y sustituyan (spoofing) lecturas de sensores que llegan a las subestaciones de la red controladas por SCADA y que se envían a las computadoras de control central de la red.

“Nuestra arquitectura está diseñada para evitar que los hackers hagan spoofing, por ejemplo, reportando una temperatura muy baja que podría hacer que los ventiladores se apaguen, lo que podría hacer que los equipos sobrecalentados fallen, provocando un apagón,” dijo Fuhr.

En las pruebas de la técnica de ORNL con la red de EPB, las lecturas de sensores existentes, por ejemplo, temperatura, presión, voltaje, corriente y campos electromagnéticos, se codifican en la secuencia de caracteres, como suele hacer la subestación. Luego, el hardware agregado de Fuhr codifica los caracteres como colores de una rueda de colores y los oculta en un cuadro de video, subliminalmente al ojo humano, de la transmisión de video que ya observa remotamente cada subestación. Dado que la señal de video viaja en un canal de red separado de la VLAN de la clave de decodificación de colores, agrega otra capa de seguridad para que un hacker la penetre.

“Nuestros despliegues han sido probados con servicios públicos que ya utilizan canales VLAN separados para diferentes tipos de tráfico de información entre dispositivos en red de una subestación, lo que complica aún más cualquier intento de hacking,” dijo Fuhr.

La posición de la rueda de colores, que cambia para cada lectura de sensor, viaja en el canal VLAN separado que los caracteres normalmente utilizados para codificar la lectura del sensor. La rueda de colores gira una cantidad diferente para cada lectura, que cambia alrededor de 10 veces por segundo, y se calcula utilizando un algoritmo de Fibonacci que rota el número de la rueda de colores por la suma de las dos cantidades de rotación anteriores. Como resultado, para hacer spoofing de una lectura de sensor, un hacker tendría que penetrar dos canales VLAN separados, determinar cómo funciona el esquema de codificación de colores, calcular las cantidades de rotación y localizar los colores en el cuadro subliminal, todo en la décima parte de segundo antes de la siguiente lectura del sensor.

Fuhr afirmó que estos niveles adicionales de seguridad, junto con una OT compatible con NIST, hacen que sea altamente improbable que los hackers puedan atacar con éxito la red eléctrica de los Estados Unidos u otras arquitecturas OT de IPC.

R. Colin Johnson es un becario del Premio Kyoto que ha trabajado como periodista de tecnología durante dos décadas.

We will continue to update Zepes; if you have any questions or suggestions, please contact us!