Exploits SCADA circulan en la red

El interés sobre los Sistemas Industriales de Control (ICS) ha aumentado desde que Stuxnet apareció en las noticias el año pasado. Esto se comprueba con el hecho de que la gente ha comenzado a publicar vulnerabilidades sin parchar y exploits.

A principios de esta semana, se publicaron en Bugtraq nada menos que 34 vulnerabilidades sin parchar. En el artículo original de The Register, también se menciona que se ha puesto a la venta un paquete de exploits SCADA (Supervisión, Acción y Adquisición de Datos) para personas que hacen pruebas de penetración.

Estoy en contra de que se publiquen las vulnerabilidades completas, pero esto indica que hay mucho interés por los sistemas que controlan infraestructuras críticas, incluyendo semáforos, fuentes de energía y sistemas de control de los aeropuertos.

Este campo tiene retos muy interesantes. ICS y SCADA se enfocan en mejorar la fiabilidad y el tiempo de funcionamiento, pero la seguridad se ha quedado en un segundo plano.

Hay empresas que tienen un tiempo de funcionamiento de más de 28 años. Eso significa que funcionan con un sistema operativo que fue desarrollado hace casi 30 años. Esto nos indica que, si todo sigue igual, podría pasar una o dos décadas más hasta que se realicen cambios serios en el sistema.

Los Sistemas Industriales de Control están al límite entre lo privado y lo público. La infraestructura crítica está en manos de empresas que sirven al público. Las regulaciones del gobierno son lo único que motiva a muchas de estas compañías para que mantengan cierto nivel de seguridad.

Los gobiernos no siempre actúan con rapidez, pero la motivación de mantener un alto nivel de seguridad en los sistemas ICS y SCADA debería provenir de las mismas empresas.

Esperemos que el hecho de que la prensa se está interesando por estas vulnerabilidades ayude a solucionar este problema.