Algunas conclusiones del #CyberCamp: S2 Cibercity

Como muchos de vosotros sabréis, hace unas semanas se celebró la primera edición de CyberCamp, el evento de ciberseguridad organizado por el Instituto Nacional de Ciberseguridad (INCIBE). Este evento se diferencia de los existentes congresos dedicados a la ciberseguridad en que pone en el punto de mira tanto a los expertos en seguridad como a las familias, gastando gran parte de esfuerzos en concienciar al «ciudadano de a pie» sobre las ventajas y peligros de Internet.

Como no iba a ser menos nosotros estuvimos allí, y con nosotros, nuestra preciada maqueta: S2 CiberCity.

En un mundo como el nuestro lleno de terminales con fondos negros y letras blancas (o verdes para los más retros), no es de extrañar que desde el primer momento causara gran curiosidad en los asistentes, y aunque eran pocos los que se atrevían a preguntar, eran muchos los que se acercaban lenta y sigilosamente intentando descubrir cuál era la función de semejante artefacto.

Como toma de contacto, decidimos adoptar el papel inverso y preguntar nosotros a un curioso técnico de sonido que curioseaba:

—¿Sabes lo que es?

Como informático, la primera respuesta me dejó de piedra:

—Estáis generando electricidad por ósmosis del agua destilada.

Tras un largo silencio y después de preguntarle “por lo bajini” a mi compañero Armand (Ingeniero Industrial) si tal respuesta tenía algún tipo de sentido, le explicamos por primera vez qué era aquella maqueta y por qué la teníamos allí:

—Esta maqueta representa procesos de control industrial críticos para el buen funcionamiento de nuestra ciudad, como es el sistema de suministro de agua o el sistema de generación y transporte de energía eléctrica. Aunque como podéis ver la parte de los arbolitos es una maqueta, toda la instrumentación y el sistema de control industrial es un sistema real como el que podemos encontrar en instalaciones reales. Esto nos permite utilizar esta maqueta como campo de pruebas de ataque y diseño de estrategias de defensa sobre sistemas de control industrial, así como poder visualizar las consecuencias.

Teníamos preparada una pequeña presentación al estilo clásico, con sus Powerpoints y su ronda de preguntas, donde combinábamos mis conocimientos como informático y los conocimientos de mi compañero sobre procesos de control industrial para atacar nuestra ciudad, pero debido al goteo constante de grupos de personas interesados en saber más sobre la maqueta y a la gran diversidad entre ellos, acabamos optando por hacer explicaciones más directas y personalizadas a cada grupo que se acercaba.

El perfil de estos grupos los podemos dividir según la profundidad de la primera pregunta que hacían:

¿Esto qué es?
Esto es un SCADA, ¿no?
¿Qué protocolos tenéis implementados?
¿Aquí regaláis bolis? (Es lo que tienen los eventos gratuitos y en fin de semana)

Después de una explicación adaptada a cada perfil (cuando era posible) y de demostrar cómo éramos capaces de atacar el sistema de bombeo de agua o de provocar un mal funcionamiento en la red de transporte de energía, venían las preguntas, que nos ayudaron a evaluar el nivel de interés y de concienciación en la materia de ciberseguridad industrial, sacando las siguientes conclusiones:

  • Los menores y las familias, ajenas al mundo de la seguridad, van tomando conciencia de que muchos procesos necesarios para el buen funcionamiento de una ciudad o infraestructura son vulnerables a ciberataques, y que hay gente que se dedica a ver como se puede atacar para saber defenderlos.
  • Respecto a los estudiantes de Ingeniería industrial y profesionales de los sistemas industriales, os remitiré a las conclusiones mi compañero Armand (cuya entrada publicaremos en unos días), que fue quien más intimó con los de su especie (con todo el cariño).
  • Profesionales y aprendices de la ciberseguridad: debido a las nuevas oportunidades laborales que ofrece el crecimiento de la ciberseguridad industrial, se ha incrementado el interés en este sector, y aunque la mayoría eran conscientes de la escasez de seguridad de estos sistemas pocos lo habían visto aplicado a un sistema real.

Como demostramos, ataques muy sencillos que hoy en día no son funcionales en los sistemas en nuestros ámbitos informáticos, sí lo son en estos sistemas, pero muchos no somos conscientes de que las soluciones típicas a los problemas de seguridad aplicadas al ámbito de las TIC no son directamente aplicables en el ámbito industrial.

En conclusión, tanto los profesionales de la seguridad como los profesionales de los SCI, tenemos que aprender los unos de los otros. Es imposible aplicar soluciones estos sistemas sin conocer en profundidad la manera de trabajar de quien los utiliza, cuáles son sus necesidades o sus limitaciones.

Lo de los “buscabolis”, un tema mucho más complejo y profundo, lo dejaré para otra entrada.