Vulnerabilidad Aurora: origen, explicación y soluciones
En el año 2007 se realizó un experimento en el Laboratorio Nacional de Idaho (INL) con el nombre de Aurora Generator Test. El objetivo del experimento era demostrar la importancia que tenía la ciberseguridad en las infraestructuras industriales, especialmente en la red eléctrica. Para ello, se realizaron una serie de ataques, consistentes en abrir y cerrar los frenos del circuito de un generador diésel, consiguiendo el calentamiento de éstos y su posterior explosión.
Después de doce años, esta vulnerabilidad sigue existiendo, amenazando no solo a generadores diésel de plantas eléctricas, sino también a componentes eléctricos y sistemas rotativos conectados a la red eléctrica.
¿En qué consistía el experimento?
Para el experimento se utilizó un generador diésel de 2,25 MW que utilizaba el protocolo Modbus para comunicarse con los dispositivos. El ciberataque controlado, consistió en desconectar al generador de la red el tiempo suficiente para que se perdiera la sincronización y más tarde volverlo a conectar a la red.
En primer lugar, aumentaron la frecuencia por encima de la que opera la red eléctrica para, más tarde, hacer saltar el sistema de frenos encargado de bajar a la frecuencia de operación. Esta diferencia de frecuencia entre el generador y la red provocó una respuesta por parte de los relés que dañó los frenos y causó fuertes sacudidas en la máquina, dando lugar a una explosión a los tres minutos de reconectarse a la red.
El resultado del experimento fue clasificado hasta el año 2014, cuando el Departamento de Seguridad Nacional americano (DHS) distribuyó la información referente al ataque, junto con medidas de mitigación. Previamente, habían obligado a las empresas eléctricas del país a implantar medidas de seguridad para evitar que posibles atacantes pudieran beneficiasen de la vulnerabilidad.
¿Cómo consiguieron llevarlo a cabo?
En cada sistema eléctrico existe una frecuencia a la cual, tanto motores como generadores conectados a la red, tienen que trabajar. En EE.UU, esta frecuencia es de 60 Hz, mientras que en Europa es de 50Hz. En las máquinas eléctricas existen unos dispositivos denominados relés que controlan el uso de los frenos para mantener la frecuencia constante. El problema reside en que un atacante puede aprovechar la falta de autenticación, autorización y cifrado de muchos protocolos industriales utilizados (DNP, Modbus, IEC 60870-5-103, IEC 61850, Telnet, QUIC4/QUIN y Cooper 2179) para enviar comandos a los dispositivos y conseguir deshabilitar el sistema de frenos, manipular los relés de protección o desconectar a un sistema de la red eléctrica.
En las plantas eléctricas también existen sincro-fasores, unos dispositivos asociados a relés de protección que evalúan el argumento y fase del voltaje o la intensidad, para controlar que no haya valores anómalos y poder mantener estable la red eléctrica. Cuando una máquina se conecta al sistema y existe una diferencia de frecuencia elevada entre la máquina y el sistema, se activa el sistema de frenado. Si la diferencia es muy grande, pueden llegar a producirse torques inestables, derivando en graves daños a las instalaciones, llegando incluso a situaciones de explosión, como en el caso del experimento.
Una actuación inadecuada de los relés puede provocar una desincronización sin necesidad de desconectar la maquina eléctrica de la red. Cuando se producen variaciones en la frecuencia, otros valores como el voltaje y la intensidad también pueden verse afectados, produciendo a su vez oscilaciones no deseadas en la red eléctrica.
Además de los generadores o motores eléctricos, otros dispositivos que se ven especialmente afectados por una variación de la frecuencia debido a la vulnerabilidad Aurora son los transformadores, ya que fuera de sus condiciones nominales de funcionamiento sufren grandes daños.
En el informe del DHS, anteriormente mencionado, se definieron una serie de medidas para evitar situaciones adversas en la red eléctrica, considerada en la mayoría de los países como una infraestructura crítica. Las medidas más inmediatas consistían en la instalación de relés de protección y la variación en el sistema de frenado.
Para que un atacante llegue a comprometer un relé de forma remota, antes necesita cierta información, como por ejemplo:
- Arquitectura electrónica, tipología y número de dispositivos.
- Uso de comunicaciones no cifradas.
- Autenticación de dispositivos, especialmente aquellos que utilicen contraseñas por defecto, poco robustas o no requeridas.
- Información necesaria para un ciberataque explotando la vulnerabilidad Aurora. Fuente: Schweitzer Engineering Laboratories. -
¿Cómo mitigarlo?
Existen una gran variedad de soluciones para la vulnerabilidad Aurora que podrían implementarse en función del coste y las características del sistema. En 2010, la corporación norteamericana de confiabilidad eléctrica (North American Electric Reliability Corporation, NERC), obligó la implantación de medidas a las infraestructuras críticas para mitigar la vulnerabilidad Aurora a través del estándar CIP-002.
- Supervisión del retardo de cierre del interruptor: implantando un relé de protección, que asegura un retraso en el disparo de los frenos, evitando la ventana de oportunidad para un ataque Aurora. Es una solución poco costosa y reduce la posibilidad de sufrir la vulnerabilidad notablemente. Si se presupone que el atacante tiene acceso al freno y al switch de control, realizar un cambio en el controlador de tiempo no sería una solución muy útil, ya que el atacante tiene muchas posibilidades para provocar un fallo en el sistema.
- Supervisión de comando de interruptor: si se requiere volver a cerrar el sistema de frenos por determinadas condiciones, se puede implementar un esquema de monitorización y control en el relé de protección. Esta medida permite un cierre normalizado para condiciones de fallo. Si el sistema es vulnerable a un acceso no autorizado en el canal de comunicaciones, la opción de un sistema de cierre automático es una buena opción.
- Supervisión del cierre: otro método para controlar un cierre no autorizado de los frenos es implementar un segundo relé que valide las acciones del relé de control. Este relé no tendrá ninguna comunicación o conexión con el exterior. Además, estará configurado con una contraseña diferente e instalado físicamente en un espacio diferente al del relé principal.
- Variador de frecuencia: esta protección consiste en calcular el ángulo de fase de la frecuencia para comprobar si está realizándose algún cambio. El sistema de relé se enciende acelerando o desacelerando para compensar la frecuencia.
Posteriormente, en 2014, se desclasificó el informe del DHS para que el resto de países y empresas conociesen la vulnerabilidad y pudiesen tomar medidas para solucionarla.
Conclusiones
A pesar de los doce años del descubrimiento de este problema, hoy en día, hay numerosos sistemas industriales que trabajan con máquinas eléctricas y aún no presentan medidas de protección ante esta vulnerabilidad. Por esta razón, es necesario concienciar a estas empresas para que tomen medidas al respecto y así poder operar con mayor seguridad, ya que los costes de prevención son insignificantes en comparación a las pérdidas que se pueden generar.
Los esquemas de protección de relés son una opción fácil de implementar para limitar la vulnerabilidad Aurora, junto con métodos de comprobación redundantes y bien segmentados, que compliquen la desincronización o conexión de una máquina no sincronizada a la red por parte de un atacante. Más adelante, medidas más concretas, como las anteriormente mencionadas en el apartado de mitigación, se tienen que implementar teniendo en cuenta la tipología y funcionamiento del sistema. Los sistemas industriales relacionados con la generación de energía, son los más expuestos a la vulnerabilidad Aurora y por lo tanto deberán tener todas las medidas de protección disponibles.