Industroyer, el primer malware hecho para atacar a la red eléctrica, es el virus responsable de que Ucrania se quedara a oscuras en diciembre de 2016. Una amenaza moderna para unos sistemas antiguos.

La electricidad es algo básico y elemental en nuestras vidas actuales. La usamos para la gran mayoría de acciones que realizamos a lo largo del día. No nos planteamos vivir sin ella a día de hoy. ¿Pero qué ocurriría si los hackers fuesen capaces de acabar con la red eléctrica a placer?

La noche en la que Ucrania se quedó sin luz

La historia comienza el 17 de diciembre de 2016. Debía haber sido una noche más, a punto de acabar el año. Pero, llegada la medianoche, más de 230.000 personas se quedaron sin luz en toda Ucrania. El apagón duró entre 1 y 6 horas, todo durante el frío invierno que caracteriza a la región.

Los peores presagios se confirmaron varias semanas después: la causa de este apagón fue Industroyer. No es la primera vez que un virus provoca un apagón en Ucrania, otro malware llamado BlackEnergy lo consiguió el 23 de diciembre de 2015. Es el responsable del primer apagón provocado por un virus. Pero si es la primera vez que un virus va a por el sistema eléctrico en concreto.

La amenaza más cercana a Industroyer que se ha presenciado recientemente fue Stuxnet en 2010. Un malware especializado en espiar y atacar sistemas industriales, que saltó a las noticias por inutilizar las centrifugadoras nucleares de Irán. Se consideró como el primer ataque de guerra cibernético por aquel entonces.

Desde entonces han llegado amenazas nuevas al terreno de juego. La citada BlackEnergy o Havox han atacado a la industria después de Stuxnet. Pero Industroyer es mucho más preocupante que ambos por una razón sencilla: mientras que los dos primeros son espías, Industroyer se parece a Stuxnet en que buscan destruir a su paso.

¿Cómo entra Industroyer en la red eléctrica?

La responsable de descubrir a Industroyer fue ESET, firma de seguridad informática eslovaca y responsable del famoso antivirus Nod32. Dos de sus investigadores, Anton Cherepanov y Robert Lipovsky, han sido los responsables de investigar a Industroyer de arriba a abajo.

Estos investigadores consideran a Industroyer tan preocupante porque busca atacar a las estaciones eléctricas directamente. Y para ello se cuela en las compañías de distribución eléctrica usando sus puestos de trabajo con Windows. Una vez está dentro despliega todo un arsenal de armas: abre una puerta trasera adicional por si se cierra la principal, e instala el ataque en la estación de trabajo.

La clave está en que, a día de hoy, los interruptores y los disyuntores eléctricos son electrónicos. Se pueden programar para que realicen varias funciones, y de ellos depende el funcionamiento de toda la red eléctrica. Estas estaciones con Windows estaban conectadas directamente a los sistemas de protección, y así fue como se coló Industroyer.

Una vez ha llegado al sistema eléctrico, espera pacientemente a que llegue el 17 de diciembre de 2016. Cuando se alcanza esta fecha, ejecuta un ataque con varios módulos. Estos ataques están hechos para atacar sistemas concretos, aprovechando vulnerabilidades específicas.

Por ejemplo, uno de los módulos de Industroyer usa una vulnerabilidad presente en los sistemas Siemens SIPROTEC que los hace inútiles. Industroyer sólo tenía que llegar hasta estos dispositivos, y estaba programado para ello. Incluso contaba con instrucciones para atacar dispositivos concretos, como los producidos por General Electric.

E Industroyer no sólo tiene una precisión quirúrgica a la hora de atacar. Además de borrar su rastro, también borra varias entradas importantes del registro del sistema y sobreescribe los archivos del sistema. De esta manera evita que el ordenador se pueda reiniciar, y dificulta la recuperación del sistema eléctrico. Nó solo borra las pruebas, también intenta detener los esfuerzos por recuperar la electricidad después del ataque.

Una amenaza moderna para una tecnología antigua

El gran problema de la infraestructura eléctrica es que sus protocolos se diseñaron hace décadas, cuando se suponía que sus sistemas estaban aislados. No es que Industroyer esquivase protecciones para poder atacar, es que ni siquiera existen protecciones en primer lugar. El creador del ataque sólo tuvo que programar a Industroyer para entender esos protocolos que se usan en la industria eléctrica.

Además, y aunque haya pasado dos veces en Ucrania, no es algo exclusivo de ese país. Esta clase de ataques se podrían adaptar y desplegar en todo el mundo. Y podríamos estar hablando de ataques mucho más avanzados y complicados en el futuro, mucho más de lo que hemos visto hasta ahora.