Seguridad

Así operaba el troyano infiltrado en la industria energética española

dragonfly_concept
Escrito por Rafael Claudín

De todos los países afectados por Dragonfly España ha estado a la cabeza, con un 27% de infecciones activas en la industria nacional

Muy al estilo de un antagonista de 007, según revelaba esta semana Symantec, hemos sufrido en los últimos años una campaña de espionaje cibernético en toda regla, que en esta ocasión no ha tenido como objetivo los ordenadores personales o las instituciones gubernamentales, sino el sector energético, poniendo en peligro las fuentes de la red eléctrica tanto en los Estados Unidos como en seis países europeos: Francia, Italia, Alemania, Turquía, Polonia… Y España.

De hecho, hemos conocido que de todos los países afectados, España ha estado a la cabeza, con un 27% de infecciones activas en la industria nacional. Estados Unidos está en segundo lugar con un 24% por delante de Francia, Alemania e Italia, que ya están por debajo del 10%.

Espionaje y ¿también sabotaje?

La función primordial del malware, etiquetado como Dragonfly por Symantec, era la del espionaje. Sin embargo, durante el tiempo que estuvo operativo se habría podido utilizar sin problemas para operaciones de sabotaje, poniendo un ingrediente de caos en un momento de por sí bastante delicado. Dragonfly sigue los pasos de Stuxnet, hasta el momento el mayor virus que ha afectado al sector industrial.

¿Cómo lograron introducir Dragonfly en la cadena industrial? A través de su eslabón más débil, los proveedores de equipamiento para los sistemas de control industrial. Infectaron el software de algunos de esos proveedores y lograron introducir el trojano de acceso remoto a través de las actualizaciones de software. La infección afectó al menos a tres proveedores de software que daban servicio a numerosas empresas de los países mencionados.

En el primer caso, el ataque se descubrió rápidamente, aunque dio tiempo a que se realizaran 250 descargas del software infectado. El segundo caso, un proveedor europeo de dispositivos de control lógico, la descarga estuvo disponible durante al menos seis semanas en los meses de julio y agosto del año pasado. El tercer caso, también europeo, se centró en un sistema de gestión de turbinas eólicas, plantas de biogas e infraestructuras energéticas. Esta vez estuvo disponible durante 10 días del mes de abril.

Impacto en la industria energética

Como señala Ars Technica, la operación Dragonfly tiene todos los visos de estar patrocinada por algún gobierno. Se sabe que ha estado operativa desde al menos 2011, empezando con compañías de la industria militar y la aviación en Canadá y Estados Unidos, antes de pasar al sector energético. La capacidad de organización de los atacantes y su sofisticación técnica son buenas pistas, pero además la huella encontrada en el malware indica que la mayor parte de los atacantes trabajaba en un horario de oficina de Europa del Este, de 9 de la mañana a 6 de la tarde.

Por suerte el ataque no ha pasado a mayores. Han podido obtener passwords y documentos, así como realizar capturas de pantalla y probablemente obtener información privilegiada sobre las compañías afectadas. Sin embargo, al menos no se hizo efectiva la amenazada de sabotaje latente.

Sobre el autor de este artículo

Rafael Claudín

Rafa M. Claudín ha trabajado durante más de 15 años como periodista especializado en tecnología de consumo en medios como PC Actual, Computer Idea, Tech Style o la versión española de Gizmodo, además de colaboraciones en diversas revistas de videojuegos y otras más generalistas como QUO.