Quedó claro que los sistemas instrumentados de seguridad también son blancos de ataque con motivo de causar y provocar severos daños a infraestructuras industriales con graves consecuencias.

El pasado mes de agosto de 2017 un ataque cibernético fue dirigido a los Sistemas Instrumentados de Seguridad en una instalación de petróleo y gas localizada en algún lugar del Medio Oriente.

Un nuevo malware identificado como TRITON (Bautizado por Fireeye), TRISIS (Bautizado por Dragos) o también conocido como HatMan, fue desarrollado para actuar sobre las funciones de seguridad de los sistemas TRICONEX con la finalidad de interferir en las protecciones de los sistemas poniendo en riesgo la planta de producción y la vida de las personas provocando daños en gran escala.

El malware fue desarrollado específicamente para actuar sobre los sistemas TRICONEX y TRICON fabricados por la empresa Schneider Electric (Originalmente Foxboro/Invensys). Sin embargo, el vector de ataque utilizado no sería exclusivo de esta marca ya que podría ser utilizado o modificado para actuar sobre otros fabricantes de sistemas instrumentados de seguridad.

El ataque a los Sistemas Instrumentados de Seguridad tuvo como resultado final, en esta ocasión, la parada de la planta. Sin embargo, los investigadores hallaron que los responsables buscaban modificar las funciones de seguridad configuradas y así provocar un incidente de mucha mayor magnitud. Un error en la intervención del sistema por parte de los responsables termina por provocar que el sistema entre en falla y por consiguiente automáticamente desencadena una parada segura de la planta.

De haber sido exitosos en el objetivo final seguramente hoy hubiésemos sido testigos de un incidente de magnitudes mayúsculas.

La empresa Schneider Electric luego de una rápida investigación puso a disposición del mercado un informe para advertir al mercado mundial y principalmente a otros usuarios, sobre dicho malware recomendando medidas inmediatas de seguridad para evitar que otras compañías sean víctimas del mismo tipo de ataque quizá con daños mucho más graves que el actual incidente. Los funcionarios de Schneider Electric anunciaron en su comunicado oficial que se trató de un incidente aislado. Sin embargo, recomendaron enfáticamente a todos los usuarios, que tomen medidas de seguridad al respecto.