TEMAS PROFESIONALES infraestructuras del programa nuclear iraní. Se consiguió con un gusano lo que no pudieron cinco años de resoluciones de Consejo de Seguridad de las Naciones Unidas (CSNU): interrumpir el esfuerzo iraní de obtención de la capacidad militar nuclear. De confirmarse esta acción, un código de medio MB (22) habría sido más efectivo que un ataque militar y habría evitado una posible crisis internacional surgida de los probables daños colaterales. El gusano Stuxnet atacó los sistemas SCADA de las infraestructuras iraníes. La estrategia de propagación usada por Stuxnet es un misterio. Se sabe que empleó al menos cuatro vulnerabilidades zero-day (23) y dos certificados digitales robados. Este es capaz de atacar redes air-gapped (24) mediantes memorias USB y un diseño tan refinado e inteligente que intenta el acceso al control de la infraestructura solo cuando detecta que está conectado en un entorno SCADA. Un escenario «cercano» Todo lo escrito no deja de parecer algo lejano a nuestro ámbito. Algunos se preguntarán si este tema tiene interés o aplicación como amenaza a un buque o fuerza naval. La mayor parte de la tecnología a bordo de los buques de guerra de hoy es COTS (25), especialmente las redes informáticas, incluidas las del sistema de combate del buque. No es en absoluto descartable que un atacante logre introducir un código malicioso en el sistema de combate de un barco, o de una clase completa, con impacto en su capacidad operativa de Mando y Control y de empleo de sus sensores y armas. Si un buque de guerra debe o no ser considerado como una infraestructura crítica es discutible, pero a los efectos del siguiente escenario lo consideraremos como tal. El propósito del escenario planteado en forma de hipótesis es observar la analogía de este con los ataques a sistemas SCADA de IICC «convencionales», de los que alguno ya sabemos que ha tenido lugar. (22) Un Megabyte = 1.024 KB = 1024*1024 bytes. (23) Vulnerabilidad de «Día Cero» son las codiciadas por todo cibercriminal, aquellas que no se conocen, no se han hecho públicas y por tanto para las que no existen parches de seguridad ni pueden ser detectadas por software de seguridad. (24) Sin conexión física a Internet o al medio atacante. La intromisión en el sistema requiere de la introducción, consciente o no, de un dispositivo físico con código dañino. (25) Commercial Off the Shelf. Procedencia comercial, no es tecnología específica militar. 2015 111
REVISTA GENERAL DE MARINA ENERO FEBRERO 2015
To see the actual publication please follow the link above