Automatizaciones sin hacker, Ciberseguridad en el Internet de las Cosas

Creado en | por Drouiz

Contenidos

Industria, Automatización y electrónica

Si entras en cualquier industria que esté automatizada verás que quien ha programado la electrónica o los PLCs son por general ingenieros industriales, que saben programar pero no han tenido la necesidad de hacer su sistemas seguros. Por norma general la automatización de una industria era una caja negra cerrada al mundo de las comunicaciones.

¿Que dispositivos son el núcleo de la automatización?

Primero empezaremos hablando de un PLC o un microcontrolador (como Arduino) que realiza una tarea, generalmente sencilla, cíclica y crítica. La electrónica de un PLC o un Micro es mucho más sencillo que cualquier ordenador o smartphone, básicamente este dispositivo toma unas entradas y realiza una salida, vamos a lo más fácil, un termostato que si sube la temperatura activa un ventilador pero si baja le da más fuerza a la caldera. Mencionar que en muchos casos tienen que ser rápidos por temas de seguridad, no puede darnos el típico pantallazo azul de Windows o caerse, estos sistemas no tienen Sistema Operativo por eso son más robustos que un PC normal.

Automatizaciones PLC
Automatizaciones PLC

Red interna de la Fábrica

Ahora que ya sabemos que hay dispositivos electrónicos que realizan tareas cíclicas y que son programados directamente sobre el hardware (sin Sistema Operativo), vamos a analizar toda la producción. Imaginemos una planta, por ejemplo de embotellado que realiza la siguientes tareas:

  • Comprueba que hay botellas en el inicio de la cadena donde un brazo robótico las toma y las pone en una cinta en línea recta.
  • La siguiente máquina limpia las botellas, comprueba que entra una para le inyecta agua con jabón.
  • Posteriormente las enjuagamos.
  • Se procede a un programa de secado.
  • Introducimos el líquido dentro.
  • Le aplicamos el tapón
  • Recopilamos las botellas en cajas de 12.

Bien pues cada uno de esos procesos tiene al menos una máquina y cada máquina dispone de su electrónica. Todo el proceso se comunica en una red local, no tiene que ser ethernet hay protocolos propios industriales. Todas las máquinas se comunican entre sí, si una ha sido parada para el resto del proceso delante o detrás, etc etc. Pero todas esas máquinas son controladas por un ordenador o varios ordenadores que controlan el proceso en un programa que se llama SCADA. Todo esto sin estar conectado a Internet.

Lo siguiente fue conectar esos ordenadores a Internet pero para que el operario del SCADA pudiera ver el correo o usar el navegador, pero siempre hubo un miedo a conectar toda la fábrica. Aquí nunca hubo un experto de seguridad. Los SCADAS se programan con softwares que están pensados para ser sencillos.

Problemas hasta aquí de ciberserguridad

Aún así aquí ha habido grandes problemas de seguridad el primero que voy a resaltar fue un ataque contra WinCC un software de Siemmens para programar SCADAS industriales, posiblemente el más famoso del mercado. Se encontraron varias vulnerabilidades en WinCC, un gusano informático ahora conocido como Stuxnet se cuela en el sistema y re-programa los PLCs de las centrifugadoras para que se autodestruyan. Posiblemente Stuxnet «se colo» a través de un USB.

Otro problema que me he encontrado profesionalmente es ver a los técnicos de mantenimiento instalar un «escritorio virtual», un software que permite ver e interactuar con el ordenador que esta en planta, es decir, el propio técnico abre una puerta sin que sus supervisores lo sepan, de esta forma si hay una emergencia en la fábrica puede solucionarla desde su casa. Los jefes un miedo terrible a que el ordenador pueda ser accedido desde fuera y es alguien desde dentro sin malicia ninguna que instala un software, ¿no será mejor crear ya sistemas seguros conectados a la nube?

Por último los sistemas internos suelen ser protocolos no encriptados y pocos seguros. Cierto es, que en muchas aplicaciones no es necesario preocuparse por esto, son fábricas pequeñas y donde es difícil un ataque. Pero es cierto que aquí los ingenieros de automatización no han sido muy amigos de los informáticos.

El Internet de las cosas.

El Internet de las cosas consiste en conectar todo a la red de redes, tu casa, tu coche, la fábrica de antés, las ciudades… incluido tu mismo. Imaginemos la industria que crea estos productos, al menos las pequeñas o StartUps. Cada vez veo más productos electrónicos que pertenecen al Internet de las Cosas, termostatos, medidores de consumo, bombillas… muchos de estos dispositivos son creados por electrónicos. Una StartUps suelen ser dos personas, el técnico y el businessman (cierto que no siempre es asi). Si la StartUp es de electrónica, nuestro técnico es el mismo de antes, un ingeniero electrónico o de automatización, que sabe programar sabe que funcionan las cosas pero no piensa que le van a hackear su producto, además hay que conseguir el producto mínimo viable cuanto antes, y este tiene que funcionar pero no ser seguro.

Por ello el gran problema que tiene el Internet de las cosas es precisamente que primero hay que vender, el consumidor quiere algo que funcione no pregunta sobre si ha pasado test de seguridad, no es un técnico. Al igual que cuando compras un coche no pides las pruebas del airbag o de los amortiguadores das por hecho que han sido realizadas y pasadas, además hay una normativa vigente y no pasa lo mismo con esta electrónica la cual si tiene normativa en cuanto a si pasa unos controles de radiación electromagnética y acoplamientos pero no tienen una normativa sobre lo vulnerables que son.

Ejemplo Real, los contadores de la luz

Hace poco en España han sustituido todos los antiguos contadores analógicos por unos con lucecitas y que se conectan a Internet y mandan la información, de esta forma las empresas eléctricas ahorran costes al no tener inspectores midiendo contadores. Pueden detectar el fraude en tiempo real.

Aquí es donde se demuestra mi teoría, los electrónicos están enfadados con los de ciberseguridad. Realmente no es ese el caso, pero si funciona ¿qué mas da todo? si mi móvil es la caña ¿que más da que no salte el airbag? por supuesto, hasta que pasa. Resulta que estos contadores se hackean casi con la mirada, y adjunto el archivo abajo en links de interes para saber más.

Hace poco en  un vídeo de Youtube de Palabra de Hacker,  comentaban un poco sobre el aumento de los costes, creo que no es solo aumento de los costes, es falta de preparación por parte de los técnicos en electrónica, en electrónica no hace falta ser seguro, encriptar lleva tiempo y recursos, pero los tiempos están cambiando y ahora la electrónica se conecta a Internet.

Links de interes

Summary
Automatizaciones sin hacker, Ciberseguridad en el Internet de las Cosas
Article Name
Automatizaciones sin hacker, Ciberseguridad en el Internet de las Cosas
Description
Los ingenieros electrónicos y de automatización parece estar enfadados con los ingeniero de seguridad. Esto resulta ser un preocupante espectáculo para la evolución de la Internet Of Things
Author
Publisher Name
Drouiz
Publisher Logo

Leave a Reply

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

You may use these HTML tags and attributes:

<a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.