Envenenar el agua de una ciudad con un ordenador: El hackeo de Florida
Cibercriminales manipularon una instalación de tratamiento del agua en Florida a través de la infraestructura informática.
Dicen que la realidad supera siempre a la ficción. Y lo que todo buen guionista de series y películas como 24, Homeland, Alias, La Jungla 4.0, Mr. Robot o Misión Imposible imagine en su cabeza, será superado por la vida real. En marzo de 2018, un grupo de hackers lograron introducir un malware de tipo ransomware dentro del gobierno de la ciudad norteamericana de Atlanta. El virus, del tipo que bloquea los sistemas y no los libera hasta que los perpetradores no quieran, ‘secuestró’ cientos de documentos judiciales y servicios como el procesamiento de pago de la ciudad.
A cambio de liberarlos, los hackers pedían 51.000 dólares en criptomonedas para restablecer el sistema. Pero recuperar las infraestructuras de Atlanta les costó a sus oficiales 100 veces más. Pero, ¿se puede llegar más lejos? ¿Se puede matar de forma consciente usando un arma informática? Se puede, y eso es lo que podría haber pasado en Florida.
El hackeo de Florida
Centralizar informáticamente y automatizar todos los sistemas básicos de una ciudad trae consigo un funcionamiento más eficiente, menos costoso y más beneficioso para la ciudad. Pero también provoca una sobre-exposición que antes no había. Estamos en la era digital, en la era del cibercrimen, en la era en la que las naciones del mundo se pelean en silencio, con armas informáticas, más eficaces que un conflicto armado real y mucho menos costosas.
En la ciudad de Oldsmar, en el soleado estado de Florida, Estados Unidos, ha sucedido algo que bien podríamos haber visto en una serie de Netflix o HBO: Un operador de una planta de tratamiento de agua nota un viernes a las 8 de la mañana cómo alguien entra de forma remota a su pantalla. El operario no se alertó, porque es algo que su supervisor hacía de forma regular.
Pero a las 13:30 horas, el mismo operador ve otro acceso remoto, y de repente nota aterrado como alguien abría delante de él la pantalla de control del agua, hacía ajustes y aumentaba la cantidad de hidróxido de sodio, el mismo componente inorgánico que se usa en lejías y desatascadores, de 100 partes por millón a 11.100 partes por millón. De repente, el atacante deja el sistema, y el operario revierte el cambio para evitar un desastre sanitario.
Oldsmar, Florida
Unos cibercriminales habían logrado infiltrarse en un sistema informático municipal, concretamente en la infraestructura de la instalación de tratamiento del agua de Oldsmar. Los hackers ganaron el control del sistema, lo que les daba acceso remoto a un ordenador esencial de la instalación. Un ordenador que controla que el suministro de agua sea potable. O tóxica.
Cómo vio el aterrado operario, con un par de clicks los hackers aumentaron la cantidad de hidróxido de sodio en el suministro de agua de la ciudad, cambiando los niveles químicos y volviéndola peligrosa para el consumo, e incluso mortal.
Una advertencia
Lo primero que las autoridades de Oldsmar han querido dejar claro es que “el público nunca estuvo en peligro”, ya que había otros sistemas de seguridad que habrían impedido que el agua tóxica llegase a los 15.000 habitantes de la población, como es el hecho de que de la base al suministro de la ciudad se tarda más de un día en el trasvase.
Pero el mensaje está claro, y por más dispositivos de seguridad que haya, si están conectados a un sistema informático se pueden hackear. La acción más parece una toma de contacto con el sistema, una prueba o una simple advertencia. Pero justo llega después que en noviembre de 2020 sucediese lo mismo en una instalación de agua en el estado de Illinois, un hackeo de supuestos cibercriminales rusos.
Y más ejemplos aún: también en 2020 se produjo un ciberataque en Israel dirigido al suministro de agua, atribuido según los oficiales de inteligencia del país a Irán.