Rubén Santamarta, leonés de 35 años e investigador en la empresa IOActive, ha descubierto importantes fallos en sistemas de monitorización de radiación nuclear que afectan a centrales de todo el mundo, incluida España. El Centro Nacional para la Protección de Infraestructuras Críticas (CNPIC, dependiente del Ministerio de Interior) y el Instituto Nacional de Ciberseguridad (INCIBE, dependiente del Ministerio de Energía, Turismo y Agenda Digital) han trabajado con Santamarta para informar a las centrales españolas afectadas por este problema, cuyos detalles técnicos serán revelados por primera vez a finales de este mes.




En España hay cinco centrales nucleares en activo: Almaraz, Ascó, Cofrentes, Trillo y Vandellós II (una sexta central, Santa María de Garoña, está en fase de cese de explotación). Almaraz y Ascó tienen dos unidades gemelas, por lo que el número de reactores es de siete. No se sabe cuáles de ellas están afectadas por el fallo de seguridad ni se sabrá, confirma Santamarta, quien se limita a afirmar que "algunas sí lo están". La razón de este secretismo es que, a diferencia de otras centrales, especialmente en Estados Unidos, donde hay información pública sobre qué marca de sensores tienen instalados, en nuestro país estos datos son confidenciales.

Santamarta cuenta con un amplio prestigio internacional en la localización de fallos informáticos en sectores tan críticos como la aviación o, ahora, las centrales nucleares. Presentará esta investigación en público y por primera vez en la conferencia Black Hat, el 26 de julio en Las Vegas. Allí desvelará los datos más técnicos, así como el nombre del fabricante de los dispositivos afectados.

Los sensores que ha estudiado Santamarta detectan los niveles de radiación en perímetros de diferentes kilómetros alrededor del mismo reactor e incluso se ponen en los trajes de los buzos cuando realizan trabajos en las piscinas de enfriamiento. La información monitorizada por estos sensores se manda por radio a los ordenadores de control, que a partir de la misma muestran los avisos correspondientes al personal.

Estos sensores no son específicos de las centrales nucleares. Se ponen también en drones y, como reza la presentación de la charla que dará Santamarta en Las Vegas, también "infraestructuras críticas como puertos marítimos, fronteras e incluso hospitales están equipados con dispositivos de monitorización de la radiación, para detectar y prevenir peligros que van desde el contrabando de materiales nucleares hasta la contaminación por radiación".

El leonés lleva meses investigando estos dispositivos, centrándose sobre todo en "cómo un atacante podría falsificar los datos que llegan a la sala de control". Y sus conclusiones son contundentes: "En términos de seguridad estos dispositivos tienen fallos de diseño en varios componentes". Esto significa, para entendernos, que todo es vulnerable en estos sensores, desde el 'software' que usan hasta el protocolo que manda los datos por radio, sin cifrarlos.

El exhaustivo análisis de Santamarta ha comprendido el 'hardware' de los sensores, el 'firmware', que ha copiado mediante ingeniería inversa, y el protocolo de radio, que también ha descifrado con ingeniería inversa y puesto a funcionar con un dispositivo SDR (Software Defined Radio).

El Instituto Nacional de Ciberseguridad (INCIBE), que ha estado colaborando con Santamarta en el análisis del fallo, reconoce que recibió la comunicación del mismo el pasado 30 de mayo, aunque asegura que, de haberse explotado para un ciberataque, el funcionamiento de las centrales no se habría visto afectado.

Esta investigación llega justo en el momento en que el FBI y el Departamento de Seguridad Nacional del Estados Unidos han detectado brechas en la seguridad informática en las centrales nucleares de Estados Unidos que los ciberdelincuentes han aprovechado para penetrar en los sistemas informáticos de las empresas operadoras de estas infraestructuras críticas.

Según ha informado el New York Times, los delincuentes informáticos llevan accediendo a las computadoras de las centrales del pasado mes de mayo.

Fuente: El Confidencial