Que la seguridad al 100% no existe, y que los ciberataques están a la orden del día, es algo que la mayoría de las personas tenemos interiorizado y que, llevado al campo de la ciberseguridad, es una realidad que se hace palpable cada día.
Prácticamente cualquier empresa, con independencia de la actividad que realice o de su tamaño, tiene una dependencia de la tecnología y de los sistemas informáticos que hace que una brecha de seguridad pueda llegar a interrumpir su negocio. Esto puede afectar potencialmente, por tanto, a su cuenta de resultados y balance.
El caso Norsk Hydro, el culmen de los ciberataques a empresas e industrias
El reciente ciberataque sufrido por la multinacional noruega Norsk Hydro es un claro ejemplo de cómo una brecha de seguridad puede afectar la continuidad del negocio.
Todo comenzó el pasado 19 de marzo, cuando el productor noruego de aluminio se vio obligado a interrumpir la producción en sus plantas y su red informática a nivel global tras ser víctima de un ataque de ransomware.
Este ataque derivó en el bloqueo de archivos y la modificación de contraseñas, que afectó tanto a sus sistemas de información corporativa como a sus sistemas de control de producción, más conocidos como sistemas SCADA o SCI.
Los sistemas SCADA/SCI son aquellos que permiten controlar y supervisar los procesos industriales. Originalmente, estos sistemas fueron diseñados para cubrir necesidades de un sistema de control centralizado, sobre procesos o complejos industriales distribuidos sobre áreas geográficas que pueden ser más o menos extensivas.
Estos sistemas son muy eficaces y controlan la seguridad física de la cadena de producción. Además están basados en programas o software muy robustos para dichos propósitos.
Pero, hoy en día, la necesidad de optimizar procesos y explotar la información de estos sistemas ha desencadenado la conectividad de los mismos a Internet. Esto genera la vuelta de los SCADA o SCI extremadamente vulnerables a las mismas amenazas que los sistemas de la información, y fundamentalmente, a los ataques informáticos.
Los efectos directos de la vulnerabilidad del sistema SCADA
Toda empresa cuya producción esté vinculada a sistemas de control industrial o SCADA debe reflexionar sobre las consecuencias que puede tener el sufrir un ataque contra estos sistemas.
No sólo la pérdida de beneficios por la interrupción y consiguiente disminución de la producción es una evidente consecuencia. También son consecuencia los posibles daños materiales o personales que podrían derivarse, si logran poner en peligro los activos que están directamente afectados con la producción.
Stuxnet, el ciberataque de los ‘80
Se conoce al menos un caso – corrían los años 80 – donde un código malicioso logró desencadenar una explosión en un oleoducto. Pero fue el gusano Stuxnet, el primer “gusano” que creó una severa advertencia a la industria del potencial peligro que puede tener que un SCADA interprete erróneamente una señal de alerta y no pare a tiempo.
Stuxnet penetró en el sistema informático de la planta nuclear de Natanz, Irán, mediante una memoria USB infectada. Una vez dentro del sistema informático, Stuxnet busco el software que controlaba las maquinas centrifugadoras y, una vez dentro, comenzó a ejecutar su cometido.
El ciberataque se llevó a cabo, en este caso, en dos fases. En una primera fase, el virus hizo que las centrifugadoras giraran peligrosamente y rápido durante 15 minutos. Mientras que en una segunda fase ejecutada un mes después realizó lo mismo, pero durante 50 minutos, repitiendo esta última acción durante los meses siguientes.
Con el tiempo, la tensión provocada por las velocidades excesivas, causó que alrededor de unas 1000 máquinas infectadas se desintegraran. Durante el ciberataque, aproximadamente el 20 % de las centrifugadoras en la planta de Natanz quedaron fuera de servicio.
Norsk Hydro, afortunadamente, fue capaz de evitar un resultado peor, pero tuvo que arrancar los sistemas de forma manual y operar, por tanto, a un ritmo bastante inferior a su producción normal.
Las consecuencias podrían haber sido catastróficas si el aluminio hubiera solidificado en las cubas ya que no sólo el producto es el daño, sino que también las instalaciones hubieran quedado prácticamente inservibles y los gastos de poder recuperarlas hubieran sido de un importe considerable.
Otros ciberataques a empresas relevantes de los últimos años
Norsk Hydro es el caso más frecuente de una realidad que, desgraciadamente, es cada vez más recurrente. Wannacry fue un jarro de agua fría para muchas empresas que eran autocomplacientes en su gestión de riesgos.
Pero posteriormente aparecieron las variantes Petya y NotPetya, que afectaron a grandes empresas como Saint-Gobain, Moller-Maersk, Cadbury’s, Mondelez o hasta el mismísimo Puerto de Barcelona. Todas ellas han sufrido ataques recientemente, y muy similares que han afectado a su capacidad de producción o servicio.
En el caso de Mondelez, la compañía admitió que el suceso había tenido un efecto negativo de 40 puntos básicos en su facturación del año 2017.
Impactos relevantes por interrupción de negocio derivados de NotPetya, febrero 2019. Fuente: elaboración propia
Teniendo en cuenta todo lo anterior… ¿Seguimos pensando que los riesgos cyber son un riesgo de IT o más bien un riesgo de negocio? Para colmo, los atacantes no piensan en las consecuencias de una disrupción, sino que van detrás de conseguir dinero rápido y cualquier víctima (grande o pequeña) puede ser su objetivo.
Por tanto, hay que desterrar las ideas obsoletas, dejar de pensar en las amenazas como algo remoto y comenzar a proteger lo que verdaderamente nos tiene que importar: nuestro negocio.
Contar con un Centro de Seguridad profesional que sepa reconducir con diligencia este tipo de situaciones tan delicadas es imprescindible a día de hoy en las empresas. ¿Quieres saber más sobre ciberseguridad y ciberriesgo? No te pierdas nuestros artículos de interés.