Energía nuclear
Espionaje nuclear II

El 28 de octubre de 2019, un analista de seguridad informática tuiteó que varios hackers habían conseguido "acceso como controladores de primer nivel a la central nuclear de Kudankulam” (KKNPP) en Tamil Nadu, India.

KKNPP tiene dos reactores en operación que están conectados a la red desde octubre de 2013 y agosto de 2016.

La instalación nuclear de Natanz, en Irán, recibió un ataque con el virus Stuxnet. Fuente: Beyond Nuclear International
La instalación nuclear de Natanz, en Irán, recibió un ataque con el virus Stuxnet. Fuente: Beyond Nuclear International. Beyond Nuclear
Universidad de Stanford. Universidad de Columbia Británica
8 feb 2021 02:43

Artículo publicado originalmente en Beyond Nuclear International.

Viene de la primera parte.

Tres problemas difíciles

La ciberseguridad debería ser una fuente de preocupación para la energía nuclear en todo el mundo, y la infección de KKNPP es una indicación más de las posibilidades de los ciberataques futuros. Muchos investigadores de seguridad siguen avisando del riesgo. Dos informes recientes, uno de la británica Chatham House y otro de la estadounidense Nuclear Threat Initiative, han identificado muchas debilidades en los sistemas de seguridad informática de las centrales nucleares.

El informe de Chatham House avisa de la miopía de los operadores de planta: “el personal de las centrales nucleares no es consciente de la extensión de su cibervulnerabilidad”, en parte debido al “mito nocivo de que las instalaciones nucleares están completamente aisladas del internet público, y que por tanto están a salvo de cualquier ciberataque”.

“Y, sin embargo, estos aislamientos pueden venirse abajo con tan solo un USB, como con el caso de Stuxnet, pero los beneficios comerciales de la conectividad de internet significa que las instalaciones nucleares pueden tener sus propias redes virtuales privadas y demás conexiones instaladas, en ocasiones no documentadas u olvidadas por lor proveedores u otras legítimas terceras partes”.

Reflexionemos sobre esto. Primero, el concepto de 'beneficios comerciales' se refiere al hecho de que mientras la conexión de un ordenador del sistema a internet implica un alto riesgo, también tiene sus ventajas. Una obvia ventaja es su conveniencia operacional. Alguien que trabaja con el ordenador puede necesitar copiar cierta información o descargar algo para poder hacer su trabajo.

Conectarse a una red más amplia también permite que otros trabajadores, como el personal de mantenimiento, puedan trabajar con el sistema sin estar físicamente en la central. Este es el primer problema: no podemos evitar ciberataques sin renunciar a la comodidad de la conexión a internet. Para las centrales nucleares, que requieren de un uso extensivo de ordenadores y demás maquinaria, el coste operacional de no conectarse a una red más amplia puede ser bastante considerable.

En segundo lugar, el papel de los trabajadores es muy importante. El fenómeno por el que estos, con o sin su conocimiento, amenazan la seguridad de la organización en la que trabajan se conoce como una amenaza interna. Muchos de los ejemplos que utiliza Chatham House están causado por un trabajador o proveedor que contaban con autorización para utilizar el sistema de control interno.

El informe de Chatham House avisa de la miopía de los operadores de planta: “el personal de las centrales nucleares no es consciente de la extensión de su cibervulnerabilidad”, en parte debido al “mito nocivo de que las instalaciones nucleares están completamente aisladas del internet público, y que por tanto están a salvo de cualquier ciberataque”.

La mayoría de las veces, estas personas muy probablemente no tengan intenciones maliciosas. Sin embargo, sus acciones sí conducen a consecuencias adversas. El problema es que las centrales y otras infrasestructuras necesitan contar con trabajadores, así que este riesgo no puede eliminarse.

Los contratistas y otras terceras partes aumentan aún más el número de personas con acceso al sistema. Es más, este personal más externo, aunque posean un gran conocimiento técnico, están mucho menos familiarizados con el conjunto de la central.

Esto se ilustra con el ejemplo de 2008 de la central nuclear Hatch en los EEUU. En marzo de ese año, el sistema de control industrial se vino abajo cuando un contratista reinició un ordenador para que se instalara una actualización en la red IT. Este reinicio de la IT, supuestamente separada de la OT, causó que se introdujera un valor 0 en los datos del sistema, que lo malinterpretó como una insuficiencia de agua de refrigeración y cerró automáticamente el reactor.

El contratista sabía que el ordenador iba a reiniciarse, pero no que esa sería la consecuencia. El reactor estuvo 48 horas sin funcionar y la empresa tuvo que adquirir electricidad de otra distinta para mantener sus obligaciones de suministro. Esto costó a la empresa 5 millones de dólares estadounidenses. De haber sucedido este problema en otro momento, con una demanda alta, podría haber conducido a apagones.

El tercer problema procede de los conflictos inevitables acerca de las prioridades organizacionales. Queda claro que las actualizaciones ocasionales en los ordenadores del sistema es una verdadera prioridad, pero puede resultar en una parálisis de la central. Como todo el mundo con un ordenador o un smartphone sabe, las actualizaciones son buenas porque evitan virus, malware, etc. En Hatch, pudo haberse destapado alguna vulnerabilidad de no actualizarse el sistema. Pero instalar la actualización tuvo un efecto adverso para el conjunto.

De la misma manera, hay conflictos entre lo que es bueno para los negocios y lo que es necesario para la seguridad. Tener acceso a una red interna puede ser importante desde una perspectiva empresarial. Crearla, sin embargo, conduce a vulnerabilidades de seguridad.

Desde 2008, muchas compañías reconocieron los problemas con la conectividad y buscaron construir redes separadas. Pero el problema sigue sin resolverse, como prueba el ataque de malware NotPetya de 2017. Mientras que ese virus atacó una red IT, su impacto se notó en las redes OT de todo el planeta, hasta los sistemas de monitorización de la radiación en la central de Chernóbil.

Una definición de problema es una situación sin, en potencia, solución. Ese es el caso con los ciberataques de centrales nucleares. En la mayoría de circunstancias, no existe garantía de que sus sistemas informáticos puedan aislarse de cualquier ataque.

Continúa en la tercera parte.

Traducción de Raúl Sánchez Saura.

Informar de un error
Es necesario tener cuenta y acceder a ella para poder hacer envíos. Regístrate. Entra na túa conta.

Relacionadas

Energía nuclear
Tribuna Recordando Fukushima: Almaraz, de nuevo
Ayer, 11 de marzo, se cumplió el aniversario de la catástrofe de Fukushima. 14 años después, ignorando la experiencia de aquel desastre, el lobby pronuclear intenta prorrogar la vida de Almaraz.
Energía nuclear
Fukushima Reflexiones sobre Fukushima
La lección aprendida debería ser el fin de la energía nuclear. Japón va en dirección contraria.
Contaminación
Contaminación Un municipio galego demanda á Xunta pola contaminación do encoro das Conchas
A veciñanza das Conchas, na comarca da Limia, leva á Xunta ao Tribunal Superior de Xustiza de Galicia pola contaminación provocada debido á cría intensiva de gando porcino e avícola.
Infancia
Infancia Reforma de la ley de infancia: cinco claves para proteger a las madres protectoras
El Ministerio de Infancia y Juventud ha iniciado un proceso para ampliar esta norma aprobada en 2021. Varias organizaciones dan las claves para evitar el castigo a las madres protectoras.

Últimas

AGANTRO
Agantro Tatuaxe: terapia e tendencia
Da marxinación á moda, o carácter simbólico e ritual da tatuaxe atópase actualmente erosionado polas dinámicas capitalistas.
Andalucía
Economía La Junta de Andalucía se niega a debatir sobre la condonación de la deuda
La reunión de la jornada del miércoles entre el gobierno andaluz y Hacienda ha durado cinco minutos tras la marcha de los representantes de la Junta antes de que se desarrollaran los detalles de la quita de la deuda.
Comunidad de Madrid
Exclusión sanitaria La Fiscalía admite una denuncia contra el alto cargo de Ayuso que firmó los protocolos de las residencias
Un familiar de una fallecida en la residencia Las Camelias de Móstoles denuncia a Carlos Mur, quien era director general de coordinación Sociosanitaria, tras la no derivación hospitalaria de su madre que enfermó de covid y tenía deterioro cognitivo.
Guerra en Ucrania
Conflicto bélico Rusia y Ucrania acuerdan un principio de alto el fuego marítimo a instancias de Estados Unidos
La Casa Blanca emite dos comunicados que coinciden en señalar una tregua en el Mar Negro y en prometer trabajo para el final de los ataques energéticos por ambas partes.
Más noticias
Salario mínimo
Salario mínimo PSOE y Sumar intentan llegar a un acuerdo para no perjudicar con el IRPF a los trabajadores con el SMI
La ministra de Hacienda ha confirmado que sería “algún tipo de medida que permita compensar a aquellos pocos trabajadores” en la situación de tener que tributar con el salario mínimo.
Opinión
Opinión Es el militarismo, amigo, el militarismo
¿Puede que si el militarismo es la solución para todo, realmente no solucione nada, sino que realmente sea el problema?
Residencias de mayores
Residencias Fondos de inversión y residencias: la mano invisible que retuerce los cuidados
Mientras DomusVi, en manos del fondo de inversión ICG, ya es la empresa con más residencias privadas del Estado, residentes, familiares y trabajadoras explican lo que supone que las prácticas especulativas acunen la vejez de las personas.
Música
Kiliki Frexko “No me interesa el arte político que te dice qué pensar o cómo deben ser las cosas”
Tras años de trabajo colectivo, Kiliki Frexko presenta su primer proyecto en solitario. ‘Iltze 1’ es un paso adelante en su trayectoria, donde mezcla referencias, explora nuevos sonidos y habla desde un lugar más personal, sin perder el filo.
Granada
Urbanismo 146.574 m² de solares vacíos en Granada por disfrutar
“¿Y si estos espacios no estuvieran esperando al próximo gran inversor? ¿Y si ya fueran nuestros?”. Esta y otras reflexiones sobre la especulación inmobiliaria, en un proyecto artístico exhibido en el Centro José Guerrero.

Recomendadas

Guerra en Ucrania
Guerra en Ucrania Colegios underground en Járkov después de tres años de guerra
La ciudad ucraniana construye escuelas subterráneas, preparadas para aguantar ataques balísticos y nucleares.
Feminismos
Irene García Galán “La memoria feminista hay que construirla desde abajo, desde nuestras casas”
‘Hilaria’ (Errata Naturae, 2025) es un libro dedicado a la tatarabuela de Irene García Galán, pero también un ensayo político que navega a través de la memoria feminista, el antipunitivismo y el anarquismo.
Medio ambiente
Medio ambiente Milleiros de persoas enchen A Pobra do Caramiñal para berrar contra a celulosa de Altri e a mina de Touro
Unha grande multitude por terra e centos de embarcacións por mar esíxenlle ao Goberno de Alfonso Rueda que “recúe” ante o potencial desastre ambiental que sobrevoa Galiza.