Comprometida red de suministro y distribución eléctrica por pentesters

En la RSA Conference que está teniendo lugar estos días en San Francisco, California unos pentesters han presentado los detalles de un trabajo de "pentesting" o "penetration testing" realizado en una empresa del sector energético.

Tras haber recolectado las direcciones de correo electrónico del grupo de usuarios de los sistemas SCADA con los que se gestionaba la red de suministro y distribución eléctrica, los pentesters han podido tomar control de la red eléctrica después de haber tenido éxito en un ataque de phishing que dirigía a los usuarios a una página web que presentaba un error, y al mismo tiempo descargaba malware en los equipos de los usuarios por medio de los que adquirieron su control. La empresa mantenía sin segregar las redes corporativa y de control, la primera de ellas con acceso a Internet, factor principal de éxito del ataque.

Los detalles sobre el trabajo pueden verse aquí.

Cada vez más se va notando el interés de las empresas usuarias de sistemas de control de instalaciones industriales o infrastructuras críticas (PLC, DCS o SCADA) en la gestión de la seguridad de la información, después de haber caído en la cuenta de que las redes y sistemas de control son vulnerables por las diferentes razones que se presentan en este artículo de algunos de nuestros compañeros de S21sec (ver páginas 18 a 20).

Recientemente hemos tomado parte en un proyecto en Oriente Medio para evaluar el estado o la madurez y proponer recomendaciones sobre el sistema de gestión de seguridad de la información de una empresa de producción de petróleo, gas y electricidad. Esta empresa ya tenía clara la importancia de la segregación de las redes corporativa y de control en cuyo proceso de implantación estaba inmerso, habiéndonos dado la oportunidad de participar también en el diseño lógico de la nueva arquitectura de red una vez finalizada la segregación física.

Esperemos poder seguir prestando nuestros servicios de consultoría de gestión, operativa y técnica en materia de seguridad de la información a las entidades que cuentan con sistemas de control de infraestructuras industriales o infraestructuras críticas.

Álvaro Del Hoyo
Departamento de Consultoría

Proyecto CENIT “Segur@”

El proyecto SEGUR@ -Seguridad y Confianza en la Sociedad de la Información- ha sido seleccionado por el Centro para el Desarrollo Tecnológico Industrial (CDTI), perteneciente al Ministerio de Industria y se encuentra incluido dentro del programa de investigación nacional CENIT con un presupuesto de más de 31 millones de euros. En el mismo colabora S21sec junto con un consorcio de empresas.

Con una duración de tres años y medio y a través de la combinación de investigación y herramientas basadas en la biometría, algoritmos criptográficos y algoritmos avanzados de detección de intrusiones, SEGUR@ pretende generar un marco de confianza y seguridad para el uso de las TIC en la e-Sociedad. Estas técnicas se complementarán con la definición de arquitecturas y protocolos que permitan aplicar estas tecnologías básicas a la consecución del objetivo del proyecto. S21sec participará en concreto en los proyectos de tecnologías de seguridad en redes inalámbricas y de VoIP, en nuevas tecnologías de detección proactiva del fraude y en nuevas arquitecturas cooperativas de seguridad.

Con el fin de extender la experiencia y fomentar la creación de estándares, se participará en foros nacionales e internacionales con el objetivo de consolidar la posición del consorcio, así como se realizarán proyectos líderes de seguridad en el VII Programa Marco Europeo de Investigación.

El programa ha implicado a 12 empresas, 15 universidades y diversos centros de investigación, repartidos por 6 comunidades del Estado.

Junto a S21sec, el resto de compañías participantes han sido Telefónica I+D - quien lidera el proyecto-, Alcatel Lucent España, ATOS Origin, CAN (Caja de Ahorros y Monte de Piedad de Navarra), Ericsson España, ISDEFE (Ingeniería de Sistemas para la Defensa de España), J&A Garrigues, Panda Software International, Safelayer Secure Communications, Secuware y SERMEPA (Servicios para Medios de Pago).

Por otro lado, los organismos públicos colaboradores serán: el Consejo Superior de Investigaciones Científicas (CSIC), la Universidad Politécnica de Madrid, Universidad Carlos III de Madrid, Universitat Politècnica de Catalunya, Universitat Pompeu Fabra, Universidad de Murcia, Universidad Pública de Navarra, Universidad de Navarra, Universidad de Deusto, Universidad de Málaga, CEMITEC (Fundación CETENA), VICOMTech (Asociación Centro de Tecnologias de Interaccion Visual y Comunicaciones), Fundacio I2CAT (Internet i Innovacio Digital a Catalunya), Fundacion ROBOTIKER y CVC (Centro de Visión por Computador).