17 jun 2019

Apagón en Argentina (Blackout): Ciberdefensa para el posicionamiento estratégico del país

Apagón en Argentina (Blackout)

Ciberdefensa para el posicionamiento estratégico del país

Descargar en PDF

Otro artículo relacionado:
Blackout en Argentina, el gran apagón, qué podemos aprender del incidente


Hace dos días, el periódico New York Times publicó una nota donde se informa el interés de Estados Unidos en intensificar las incursiones en la red eléctrica Rusa. Además, resalta que la estrategia de USA se ha desplazado más hacia la ofensiva, con la colocación de Malware potencialmente paralizante dentro del sistema ruso. Esto nos recuerda algunas de las revelaciones de Edward Snowden sobre la instalación de "sleeping programs" en tiempo de paz con el fin de ser utilizados cuando se requiera.
A las pocas horas, según el periódico The Guardian, El presidente Trump acusó al New York Times de traición por esta información sobre la guerra cibernética contra Rusia.

Casualmente, el mismo día, aproximadamente a las 7.07AM, se ha producido un Blackout/apagón en Argentina, afectando asimismo, a Uruguay, algunas ciudades de Chile, sur de Brasil e incluso en 2 departamentos de Paraguay.

Aparentemente el corte se debió a una falla o colapso masivo de la interconexión eléctrica. Hasta el momento los expertos mencionan que "el sistema estaba trabajando bajo poca carga de demanda y con niveles normales de temperaturas".

Resaltan que no existió una intervención humana y que el corte en principio se produjo por unos sistemas de protección automáticos. Específicamente algunos especialistas sostienen que el origen podría estar vinculado a una empresa que interconecta a la Represa Hidroeléctrica Yacyretá con Salto Grande llamada Yacylec S.A.

Algunas personas opinan que el problema pudo deberse a sismos o de algún tipo de tormenta solar. Pero no se registraron sismos y si bien las tormentas solares técnicamente pueden afectar la red eléctrica, como paso en Toronto 1958, en 1972, en Canadá en 1989 o en Suecia en 2003. Los datos no parecen indicar alteraciones significativas.

¿La falla pudo deberse a un malware, APT o ciberataque?

Técnicamente es posible, pero se debe ser prudente y tener las pruebas antes de realizar tal afirmación. La utilización de malware como ciberarma sobre instalaciones eléctricas no es nueva.

Como ejemplo podemos mencionar la operación Olympic Games (2006) que tuvo como objetivo las plantas nucleares Iranies en Natanz. El resultado, el gusano Stuxnet, que afecta los sistemas Windows mediante una vulnerabilidad 0-Day. Programado para afectar PLC Siemens de los sistemas SCADA

El mismo dirigido a atacar las centrifugadoras de las plantas nucleares de IRAN. El ataque se atribuye a un trabajo conjunto de desarrollo de los servicios de inteligencia de Israel junto con Estados Unidos. Se supo de su existencia porque infecto gran cantidad de máquinas en el mundo y su posterior análisis lo llevo a la luz en 2010 por Ralph Langner [PDF].

Otro ejemplo es el ciberataque a la red eléctrica de Ucrania (2015) con la utilización de un malware llamado BlackEnergy. Este malware fue desarrollado en 2007 y se atribuye al grupo ruso Sandworm. La finalidad original del mismo era generar DDOS (Denegación de servicio distribuidas mediante bots), pero posteriormente fue mejorado a su versión 2 (en 2010) y versión 3 (en 2014). Esta última tiene capacidad de robar claves, grabar el teclado, tomar capturas de pantalla, crear acceso remoto, scan de red y destrucción del sistema entre otras funciones.

Otros recientes sucesos que vale la pena mencionar son las explosiones de transformadores que ocurrieron en distintas partes del continente americano. Si bien estos hechos puede que no tengan vinculación, es llamativo el corto plazo de tiempo en el cual ocurrieron (videos).
Por otra parte, según una publicación de Motter y Lai (2002) sobre "Cascade-based attacks on complex networks", sostienen que las redes del mundo real que poseen una distribución de cargas altamente heterogénea, como Internet y redes eléctricas, resultan particularmente vulnerables a los ataques que puede desencadenar un falla en cascada. Por ejemplo, en una red de transmisión de energía, cada estación de energía de nodo se ocupa de una carga de energía. La eliminación de nodos, ya sea aleatorio o ataques intencionales, cambia el equilibrio de los flujos y conduce a una redistribución global de las cargas en toda la red. Esto puede desencadenar una falla en cascada por sobrecarga. Las cascadas globales se dan si:
  1. Si la red presenta una distribución de cargas altamente heterogénea.
  2. El nodo eliminado está entre aquellos con mayor carga. De lo contrario, no se esperan cascadas. Referencia [PDF].
Respecto a lo sucedido en Argentina, este segundo punto aparentemente no se estaría cumpliendo, ya que informaron que la red se encontraba trabajado baja carga.

Lo que se sabe hasta ahora

En principio un Ciberataque fue desmentido en órbitas de Defensa y Seguridad. Hubo una conferencia de prensa para traer tranquilidad y dar explicaciones a la población, pero también quedó en evidencia que aún no se dispone información sobre lo que sucedió, si podría volver a suceder nuevamente o quienes fueron los responsables.

Hasta ahora, el Secretario de Energía Gustavo Lopetegui indicó que:
"A las 7.07 de la mañana de hoy se produjo una falla en el sistema de transporte del litoral. Son fallas que ocurren asiduamente en el sistema argentino y en otros países. Eso no es lo extraordinario, lo que si lo es son la cadena de acontecimientos posteriores que generaron la desconexión total...Recién en unos 10 o 15 días se podrá tener una información precisa de las causas, cuando las empresas brinden informes a Cammesa".
Lo cual deja al estado argentino en una situación de indefensión y una mala imagen internacional respecto a la detección, protección y prevención de este tipo de incidentes.

En caso de ciberataques, uno de los inconvenientes importantes es el problema de atribución y se debe tener cautela ya que típicamente es utilizado como ataque falsa bandera dentro de los esquemas de las denominadas guerras híbridas (4ta generación). Si bien no es sencillo de resolver, es completamente erróneo pensar que es imposible, tal como sostienen algunas personas.

Por lo expuesto es primordial la prudencia, realizar las investigaciones pertinentes de manera veloz y garantizando la preservación de la evidencia. Me permito citar al padre de la criminalística Edmond Locard (1877-1966) que decía: "El tiempo que pasa es la verdad que huye".

Independientemente si este hecho se trató de un ciberataque, sabotaje o simplemente una falla técnica, la misma pone en evidencia los potenciales peligros y riesgos a los que se encuentra expuesto nuestro país y que diariamente advertimos desde nuestro ámbito, pero que no necesariamente somos escuchados.

Recordemos que el día de ayer, se realizaron elecciones provinciales en Santa Fe, San Luis, Formosa y Tierra del Fuego y que una de las cosas más importantes en la democracia es garantizar el sufragio popular.

Si bien en el caso de Tierra del fuego no se vio afectada debido a que no se encuentra interconectada a la red nacional (y por ende con mejor posicionamiento), el resto de las ciudades quedaron "apagadas", sin suministro eléctrico en hospitales, semáforos sin funcionar en las calles, falta de agua en algunos edificios, antenas de datos al borde del colapso, falta de subte/trenes en la capital, inclusive sin radares o controles en las fronteras, pudiendo entrar o sacar cualquier cosa o persona sin control y estos son solo algunos ejemplos.

Pero no todo es color de negro, es importante aprovechar estos hechos para lograr un mejor posicionamiento estratégico de nuestra profesión y de nuestro país. Debemos conformar un equipo de trabajo que siga de cerca estos acontecimientos y estar disponibles para brindar soluciones robustas a dichos desafíos.

Debemos investigar y desarrollar las herramientas necesarias para el complejo futuro que nos espera, asesorar sabiamente a los funcionarios y responsables de diferentes áreas como así también es imperioso reforzar la seguridad de las infraestructuras críticas que conforman nuestro país y proteger los recursos naturales.

Esp. Ing. Pedro Albiol para Segu-Info

Suscríbete a nuestro Boletín

11 comentarios:

  1. Ing. Albiol, lo felicito por el excelente artículo. Las autoridades deben impulsar rápidamente el mayor desarrollo de las capacidades de Ciberdefensa. Estos eventos, producidos por ciberataques o no, se van a ir repitiendo cada vez con mayor frecuencia tal como nos muestra la historia si no ponemos énfasis en la seguridad de los procesos de nuestras diversas infraestructuras críticas. Resulta imperativo el establecimiento y fortalecimiento de grupos capaces de prevenir, mitigar o en su caso investigar y atribuir en forma forense las causas de problemas con nuestras infraestructuras críticas. Me gustaría ver muy pronto el cálculo oficial del costo que tuvo en este caso la caída del sistema de distribución eléctrica.No sólo el costo directamente asociado sino que deberían contemplarse también todos los costos indirectos derivados del mismo. Por ejemplo, posteriores caídas de estaciones y Subestaciones de distribución, paralización de radares, aeropuertos, trenes, subtes, daños ocasionados por no contar con semáforos, prestaciones de servicios de emergencia, perdida de productividad y datos , pérdidas relacionadas con el delito al amparo del apagón, problemas en centros de salud, aseguramiento de los procesos electorales, etc. Sin olvidar que puede haber habido víctimas humanas heridos o muertos como consecuencia indirecta del mismo fenómeno. Este cálculo serviría para poner en perspectiva el alcance del presupuesto a asignar a la Ciberdefensa y a la Ciberseguridad.
    Contamos en el país con recursos humanos de primera línea. Solo falta la decisión de nuestros lideres políticos de convocarlos y proveerles los recursos necesarios.

    ResponderBorrar
  2. Excelente !!.
    Si no aprendemos de esto, no aprendemos mas... Y el futuro será feo...

    ResponderBorrar
  3. Excelente análisis y presentación del tema. No hago más que suscribir las opiniones expresadas en el artículo y en los comentarios anteriores.
    Más allá de lo que haya sido, lo que sucedió nos muestra la fragilidad del entorno que hemos creado y dentro del que vivimos. La dependencia que hemos generado del buen funcionamiento de las cosas es brutal.
    Además de eso, está el tema de fondo, fue o no fue un ciberataque? Creo que las chances de que sí no son despreciables. Y si lo fue, creo no equivocarme en decir que fue una "prueba de concepto", seguramente un ensayo en un contexto que en realidad no es el verdadero objetivo. JMHO

    ResponderBorrar
  4. Buen articulo, debemos exponer el tema así exponemos la falta de voluntad política a tratar el tema de ciberdefensa, y que se tome referencia del alto impacto que tuvo este incidente. Dejando relegada a varias naciones con una crisis interna y mas dudas de certidumbre.

    ResponderBorrar
  5. Este es el primer artículo que no me convence de ustedes en los años que llevo leyéndolos. Creo que por primera vez han mezclado realmente política con seguridad informática de forma realmente malintencionada o cuanto menos innecesariamente paranoica. Faltaría que me acusen de espía de la NSA solo por haber comentado esto y listo... Una lástima

    ResponderBorrar
    Respuestas
    1. Hola Anonimo, y sí, no podemos acertarle a todo :)

      Si lo mezclamos (cosa que no creo) no hay mala intención.
      Puedes acusarnos de paranoícos sin dudas pero, si hay algo que desde Segu-Info no nos interesa, es la política.

      Igual, espero que dsp de todos estos años no nos dejes solo por no esta de acuerdo en un post ;)

      Cristian

      Borrar
    2. Ehhhh... En muchos hackeos hay por detrás "política".
      Lo siento si todavía no te diste cuenta.
      Saludos.

      Borrar
  6. Muchas gracias por el artículo, está excelente!

    ResponderBorrar
  7. Nota muy completa. Excelente!

    ResponderBorrar

Gracias por dejar un comentario en Segu-Info.

Gracias por comentar!