9.2.12

Ciberataques y piratería marítima. Te lo dije.

Hay ocasiones en las que tienes muy claro que se podría hacer un nuevo tipo de ataque, y simplemente no tienes tiempo de ponerte a analizarlo. Otras veces, crees que podrías aplicar algunas técnicas de probado éxito a otro campo, y cosechar también éxito con ellas.

A pesar de no tener mucho tiempo, Alberto y yo (Luis Enrique) nos dimos una pequeña paliza para llegar a presentar nuestra idea de un ciberataque en el contexto marítimo en un congreso de la OTAN organizado en nuestra ciudad, Salamanca, el 29 de Septiembre de 2011, día en el que dictamos nuestra conferencia "Advanced Persistent Threat (APT) Cyberattacks on a marine".

Parecía que sería sin más una de esas situaciones en las que gritas y ni siquiera oyes tu eco, hasta que el día 22 de Diciembre, leyendo Slashdot, te chocas en la portada con un 'EU Shipping Sector Cyber Security Awareness "Non-Existent"'. ¡¡Sin duda estábamos oyendo nuestro propio eco!! Y es esa sensación que sienten las madres cuando te miran seriamente y espetan: "te lo dije". Si señor, esa misma sensación.

EU Shipping Sector Cyber Security Awareness "Non Existent" en portada de Slashdot el 22 de Diciembre de 2012.

La European Network and Information Security Agency ENISA (agencia europea para la seguridad de la información) asegura en un informe que la industria del transporte marítimo en Europa desonoce los riesgos de seguridad informática a los que está expuesta. La industria que transporta el 52% de nuestros bienes ignora los riesgos en seguridad informática. "Te lo dije".



Para ayudar a combatir ese desconocimiento, hacemos pública nuestra presentación en el congreso, que centra tres tipos de ataques a barcos:
  1. El compromiso de las comunicaciones del barco mediante técnicas de falsificación de estaciones base, accesibles para muchos hoy ya.
  2. El sabotaje de los sistemas PLC de los barcos, por ejemplo, los sistemas de tratamiento de aguas, al más puro estilo Stuxnet o Duku.
  3. Los barcos están conectados a través de internet. ¿Por qué no aprovechar los sistemas informáticos y sus comunicaciones? Podría conllevar el descubrimiento preciso de la posición de las flotas a través de software de gestión de flotas vulnerable. La charla termina encontrando en Shodan una colección de sistemas/barcos potencialmente vulnerables.

Señores de ENISA, señores de la industria de los barcos, señores de la OTAN, no dirán después que se enfrentan a sofisticadas e inesperadas operaciones de sabotaje y ataque. Ahora toca hacer los deberes y gestionar los riesgos de la mejor forma posible. Ojalá no tengamos que repetir el "te lo dije" después de verlo en el telediario.

Mata ne, cibermarinero.