La mayoría de los debates sobre ciberseguridad se refieren a la protección del dinero, la reputación y la información. En las instituciones financieras, suele tratarse de una amenaza para las finanzas personales o de la empresa. En el sector de las telecomunicaciones, se trata más bien de la información sobre la identidad personal o el robo de la propiedad intelectual. A nivel gubernamental, el ciberespionaje es una forma relativamente fácil y de bajo coste de adquirir información de alto valor.

Sin embargo, los peligros de los ciberataques a las infraestructuras físicas, incluidos los sistemas SCADA (Supervisory Control and Data Acquisition) e ICS (Industrial Control Systems), son muy reales, crecientes y aterradores, como explica un reciente artículo del New York Times sobre un ataque a una empresa petroquímica con una planta en Arabia Saudí.

En el sector del petróleo y el gas, los ataques de ciberseguridad pueden provocar explosiones. Durante mucho tiempo, estas plantas no estaban conectadas a las redes, pero ahora, en aras de la simplicidad de la gestión, todas se han conectado peligrosamente. La probabilidad de que estos sistemas sean atacados -y con éxito- es ahora mucho mayor. Estas aplicaciones NO están diseñadas pensando en la seguridad, porque, no era la intención tenerlas conectadas a Internet.

El artículo del NYT detalla un ataque que no estaba diseñado simplemente para destruir datos o cerrar la planta, sino también para sabotear las operaciones de la empresa y desencadenar una explosión que probablemente dañaría a otros seres humanos. Los investigadores afirman que lo único que impidió la explosión fue "un error en el código informático de los atacantes", que creen que los hackers "probablemente ya han corregido". Los investigadores creen que es "sólo cuestión de tiempo" que desplieguen la misma técnica contra otra empresa con éxito.

Los desarrolladores de software se están convirtiendo en arquitectos clave que apuntalan el éxito y la seguridad de muchas organizaciones públicas y privadas. No hay mayor ejemplo que el de la industria del petróleo y el gas. Es más importante que nunca que conozcan mejor las implicaciones de su trabajo en materia de seguridad y que aprendan a codificar de forma segura, sea cual sea el lenguaje o los marcos de trabajo que utilicen.

Si quieres ver cómo los desarrolladores pueden aprender sobre seguridad para ayudar a proteger las infraestructuras críticas, juega al siguiente reto:

https://portal.securecodewarrior.com/#/simple-flow/web/injection/oscmd/cpp/vanilla

Lo único que impidió una explosión fue un error en el código informático de los atacantes, según los investigadores.

https://www.nytimes.com/2018/03/15/technology/saudi-arabia-hacks-cyberattacks.html

Los investigadores creen que el ciberataque no estaba diseñado simplemente para destruir datos o apagar la planta. Estaba destinado a provocar una explosión. https://t.co/kQqcAhoW01

" The New York Times (@nytimes) 15 de marzo de 2018

Un ciberataque en Arabia Saudí tuvo un objetivo mortal. Los expertos temen un nuevo intento. https://t.co/q9UdicR7dv

" Colin Wright (@colinismyname) 22 de marzo de 2018

El ataque supuso una peligrosa escalada de la piratería informática internacional, ya que los enemigos sin rostro demostraron tanto el impulso como la capacidad de infligir graves daños físicos. https://t.co/G8bBCteouZ#CyberSecurity #NetworkMonitoring

" Elitery Indonesia (@eliterydc) 22 de marzo de 2018

Un reciente #ciberasalto fall ido a una empresa petroquímica de Arabia Saudí tenía un objetivo mortal. Este artículo de @NYTimes explica más: https://t.co/3g8oDuPijm pic.twitter.com/MfSqrXSd9u

" Symantec EMEA (@SymantecEMEA) 21 de marzo de 2018