Según un informe de Chatham House, el riesgo de que las infraestructuras nucleares civiles sufran algún ciberataque es cada vez mayor, a causa de dos factores: su creciente dependencia de los sistemas digitales, y el uso por parte de estos de software basado en componentes COST (esto es, aquel que la Administración no desarrolla por sí mismo, sino que lo adquiere del mismo modo que el público general).

Según el informe, ambos factores se combinan con una deficiente percepción a nivel ejecutivo de los riesgos que involucran las vulnerabilidades cibernéticas, lo que provoca que el personal de las centrales nucleares no esté preparado para hacer frente a los ataques.

Ejemplos de ataques y vulnerabilidades en centrales nucleares

• 2003. El gusano Slammer infecta la central nuclear de Davis-Besse (Ohio, EEUU), provocando que los datos de seguridad del núcleo del reactor no estén disponibles durante un lapso de 5 horas.
• 2010. El gusano Stuxnet infecta los sistemas de la central nuclear de Natanz (Irán). Desarrollado por expertos de Estados Unidos e Israel con el fin de retrasar el programa nuclear iraní, durante meses este malware estuvo provocando daños no fatales en la central (reduciendo la vida útil de sus centrifugadoras), en lo que supuso el primer acto de ciberguerra conocido.
• 2011. Desastre de Fukushima. Si bien éste no fue resultado de ningún ciberataque, dejó en evidencia las fatales consecuencias de la interrupción repentina del funcionamiento de un reactor nuclear.
• 2014. Un hacker roba los planos de una planta nuclear y otros datos sensibles de la compañía estatal Korea Hydro Nuclear Power. El atacante intentó extorsionar a las autoridades de Corea del Sur, exigiendo dinero a cambio de no publicar la información. Corea del Sur implicó en el ataque al grupo de hackers de élite de su vecino del norte, ‘Bureau 121″.

Los ‘resultados alarmantes’ del informe

Para elaborar su informe, los investigadores de Chatham House llevaron a cabo numerosas entrevistas y varias mesas redondas a lo largo de un año y medio. La autora principal, Caroline Baylon, explicó el pasado día 5 de octubre que los resultados habían sido ‘alarmantes’:

“No esperaba encontrar tantas vulnerabilidades como encontré (…) La industria nuclear no ha madurado del todo en lo que respecta a la ciberseguridad (…) un ataque cibernético que deje fuera de funcionamiento dos o tres centrales nucleares podría causar grandes apagones en Estados Unidos (…) y si nos fijamos en un país como Francia (donde el 60-70% de la energía tiene origen nuclear), un ciberataque podría ser mucho más grave”.

En el proceso de elaboración del informe, los investigadores descubrieron que la idea de que las centrales nucleares son ‘muros de aire’, aislados de la Internet pública, constituye poco más que una leyenda urbana: cada vez más instalaciones cuentan con conexión de datos a Internet, lo que constituye un reclamo para los hackers.

Ante esas circunstancias, los investigadores proponen una serie de recomendaciones:

• Elaborar directrices que permitan medir las amenazas para la ciberseguridad, incluyendo una evaluación integral tanto de los riesgos que toma como de las medidas de seguridad que implementa.
• Establecer normas que promuevan ‘una buena higiene’ TIC en las instalaciones nucleares, prohibiendo, por ejemplo, el uso de dispositivos personales como las unidades USB que -se cree- estuvieron detrás del contagio de Stuxnet. También incluiría la comprobación del cambio de configuraciones ‘de fábrica’.
• Mejorar la divulgación, fomentando para ello el intercambio de información anónima y la creación de CERTs industriales.