Power Grid es susceptible de ataque cibernético

Una red emergente de interruptores de energía inteligente, llamada Smart Grid, podría ser derribada por un ataque cibernético, según investigadores de IOActive, una consultora de seguridad de Seattle.

Los investigadores de IOActive pasaron el año pasado probando dispositivos Smart Grid para detectar vulnerabilidades de seguridad y descubrieron una serie de fallas que podrían permitir a los piratas informáticos acceder a la red y cortar el suministro de energía, según Joshua Pennell, CEO de IOActive. Los dispositivos Smart Grid son computadoras pequeñas que están conectadas a la red eléctrica, lo que les brinda a los clientes y las compañías eléctricas un mejor control sobre la electricidad que utilizan. Hay aproximadamente 2 millones de estos dispositivos implementados actualmente, pero se espera que se agreguen muchos más en los próximos años.

Los investigadores crearon un gusano informático que podría propagarse rápidamente entre dispositivos Smart Grid, muchos de los cuales usan tecnología inalámbrica para comunicarse, de acuerdo con Travis Goodspeed, un consultor de seguridad independiente que trabajó con el equipo. "Se extendió de un metro a otro y luego cambió el texto en la pantalla LCD para decir 'pwned'", dijo. Pwned es un hacker que significa "asumido".

[Más información: cómo eliminar el malware de su PC con Windows]

En manos de un pirata informático malintencionado, este código podría usarse para cortar la energía de los dispositivos Smart Grid que usan una característica llamada "desconexión remota", que permite a las compañías eléctricas cortar el poder de un cliente a través de la red.

IOActive informó al Departamento de Seguridad Nacional sobre sus hallazgos el lunes y está aconsejando a la industria de servicios públicos que pruebe mejor los sistemas desplegándolos en el mundo real.

Las noticias de la investigación de IOActive fueron reportadas por primera vez por CNN, asegurando que la seguridad de Smart Grid atraiga mucha atención pública a medida que Estados Unidos avance con planes para agregar otros 17 millones de estos dispositivos en los próximos años.

La solidez de las redes eléctricas de EE. UU. ha sido un tema candente después de un fallo técnico en 2003 que causó una falla de energía en cascada en el este de los Estados Unidos y Canadá que afectó a 55 millones de personas. han eyed pow er sistemas antes. El año pasado, la Agencia Central de Inteligencia de los EE. UU. Confirmó que los delincuentes habían pirateado los sistemas informáticos a través de Internet y cortado la energía a varias ciudades en países fuera de los EE. UU.

La investigación de IOActive probablemente nunca se divulgará públicamente: muchos de estos dispositivos ya están desplegado y sería demasiado peligroso hacer que los errores se conozcan. Pennell dijo que el trabajo de su equipo no estaba enfocado en un fabricante de dispositivos en particular y que pudieron confirmar una serie de vulnerabilidades teóricas identificadas por Goodspeed, quien investigó las vulnerabilidades en el chip Texas Instruments MSP430 utilizado por algunos dispositivos Smart Grid.

"Demostraron que existe la misma vulnerabilidad dentro de un medidor inteligente en particular y demostraron que podrían explotarlo, y lo hacen en un software estándar sin cambios", dijo Goodspeed.

Estas redes inteligentes de medición avanzada (AMI) los sistemas usan una variedad de procesadores de baja potencia junto con firmware y sistemas operativos diseñados a medida y pueden ser equipados con una variedad de protocolos inalámbricos, que pueden dar a los atacantes diferentes formas de entrar en los sistemas, dijo Pennell.

Smart-meter Los fabricantes se beneficiarían si expertos de seguridad externos prueban sus productos en busca de fallas, dijo Pennell. "El diseño y la implementación de estos sistemas no han sido examinados por un tercero", dijo.

Aunque esto no siempre ha sido así, hoy en día es una práctica común que empresas como Microsoft traigan hackers externos para estresar- pruebe sus productos antes de enviarlos.

Incluso si la industria no los invita, es probable que terceros examinen estos dispositivos de red inteligente, dijo Pennell. A menudo pueden ser recogidos por unos cientos de dólares en eBay, dando a los piratas informáticos una forma económica de probar sus ataques.

Si uno de estos errores de seguridad se hiciera público, no solo sería peligroso, sino que también sería costoso, lo que costaría a las compañías de servicios grandes cantidades de dinero a medida que regresaban y modernizarían sus sistemas defectuosos, dijo Pennell.