Es probablemente uno de los aspectos más tenebrosos de cualquier ciberataque. La posibilidad de que una actividad maliciosa vaya más allá del entorno digital y provoque daños en la vida real cambia todas las reglas, aún aquellas que no han sido escritas. El primer gran ejemplo de un ciberataque con daños a una instalación fue Stuxnet, pero ahora llegan noticias de Alemania, indicando que una intervención informática causó graves destrozos en una fábrica de acero.
El ataque a Sony Pictures nos dejó cadenas de cines asustadas, peleas entre directores y productores, una comedia que murió y volvió a la vida en cuestión de días, y cierta fijación mediática por Corea del Norte. Imagino que Sony Pictures puede hablar de “daño económico” si considera sus sistemas fuera de línea, la pérdida de productividad y la fragmentación en la distribución de The Interview, pero hasta donde sabemos nadie salió lastimado. En el pasado, la idea asociada a un “daño” causado por un ataque informático era ordenar a una impresora que escupiera copias hasta agotar su fuente de papel, sin embargo, hoy se manejan parámetros diferentes. Stuxnet destruyó aproximadamente mil máquinas centrifugadoras iraníes, y se convirtió así en el primer ciberataque reportado con consecuencias físicas. Esto también dejó expuesta la crítica situación que enfrentan muchos sistemas de control industrial, repletos de vulnerabilidades.
La última novedad fue publicada poco antes de Navidad. Un reporte perteneciente a la Oficina Federal para la Seguridad de la Información en Alemania (algo así como el INCIBE español) informa sobre el daño causado en una fábrica de acero local, cuyo nombre no ha trascendido. Los atacantes obtuvieron acceso a los sistemas de la fábrica aplicando la técnica de spear-phishing (la misma que se usó para hackear ICANN), lo que les permitió penetrar la red corporativa. A partir de allí comenzaron su “ascenso”, explorando la estructura hasta llegar a la red de producción, donde afectaron una “multitud” de sistemas. Lo más grave fue que la planta se vio imposibilitada de apagar el alto horno correctamente, causando un daño masivo al sistema, aunque el reporte no brinda detalles adicionales.
Lo que sí destaca el texto es que los atacantes contaban con un amplio conocimiento no sólo de seguridad informática “convencional”, sino también de sistemas industriales y procesos de producción. Aún no se ha logrado establecer si el daño causado por el horno era el objetivo principal o simplemente un efecto secundario, pero la sensación que transmite el ciberataque es la de un sabotaje cuidadosamente planeado. Esto no hace más que confirmar lo que ha estado diciendo durante los últimos años: Un país puede reforzar la defensa en su infraestructura de armamento y comunicaciones, pero si se ignoran cosas como hospitales, estaciones potabilizadoras y plantas de energía, el daño puede ser igual de grande, o incluso peor.