Es "hackeable" la red eléctrica de EE.UU.?

Hace unos días vi "La jungla 4.0", unos cyberterroristas provocan un "caos total". Claro, uno lo ve y quizá por los detalles de la "implementación" del ataque, desvían gas de varios conductos hacia un centro de control y ¿planta eléctrica? y la planta estalla en llamas.

Pero parece que unos investigadores en Idaho (ya veis como las gasta la América profunda) han logrado quemar un generador (http://www.news.com/8301-10784_3-9799403-7.html) a través de un cyberataque. Si se hiciera una acción a mayor escala la cosa podría tener un impacto importante ya que las redes eléctricas están interconectadas y ante un desequilibrio los esfuerzos de compensación pueden provocar un efecto dominó y arrasatrar una parte importante de la red eléctrica de provincias, estados o países.

La alarma la ha desatado un video y un artículo publicados por la CNN donde se observa el experimento. Aquí tenéis el video:


Por otra parte muchos equipos industriales llevan computadores "incrustados" o microcontroladoes y módems de gestión y casi todos tienen sistemas de contraseñas que son conocidas por proveedores, técnicos... de tal modo que demasiada gente puede actuar sobre elllos. Finalmente muchas de esas contraseñas son "hard coded" o el proveedor es el único que puede cambiarlas y se niega por comodidad para los servicios técnicos o nisiquiera están documentadas. Por todo ello, incluso si tuviéramos conciencia de esa posible accesibilidad (y por tanto vulnerabilidad) seguiríamos sin poder corregirla.

Lo que sí es preocupante a corto plazo es que ya en el año 2000 un informático despedido de una depuradora de agua en Australia pudiera abrir las válvulas por vía remota en cerca de 50 ocasiones permitiendo que los desechos alcanzaran parques y cursos de agua. Habida cuenta de la progresiva informatización y el aumento de interconexión de todos los servicios básicos a través de redes públicas de comunicación, el nivel de vulnerabilidad de estos servicios ha debido incrementarse notablemente en los últimos tiempos. Y dado que no están pensados en su origen para ser "seguros" ni informáticamente ni de muchas otras maneras, se convierten en blancos fáciles para los cyberterroristas (y probablemente para los terroristas convencionales).

Bruce Schneier en su blog sobre seguridad ya había escrito en el pasado sobre seguridad en sistemas SCADA (Supervisory Control And Data Acquisition) tras una noticia del mismo estilo (http://www.physorg.com/news94025004.html) y ahora lo hace de nuevo (http://www.schneier.com/blog/archives/2007/10/staged_attack_c.html) en referencia a esta noticia concreta, merece la pena leerlo así como también los comentarios que acompañan esa entrada.