El nombre de Stuxnet, seguramente, nos resulta ya bastante familiar puesto que el nombre el gusano que atacó los sistemas SCADA de la central nuclear de Irán. Este caso puso sobre la mesa que los sistemas de control industrial podían ser vulnerables y, por tanto, podrían convertirse en el objetivo de un ataque. Precisamente, las vulnerabilidades de un sistema industrial han sido el origen de un peculiar caso que está siendo investigado por el FBI en Estados Unidos donde una empresa de Nueva Jersey sufrió una intrusión en sus sistemas y los atacantes pudieron controlar, de manera remota, el sistema que controlaba la climatización de sus instalaciones.
Según el FBI, una empresa de Nueva Jersey (cuyo nombre no se ha revelado) utilizaba una versión antigua del sistema de control industrial Niagara AX Framework para la gestión del aire acondicionado y la calefacción de sus oficinas y controlar así, de manera centralizada, la climatización de las distintas zonas de sus oficinas. ¿El problema? Tenían publicado el sistema directamente en Internet sin tan siquiera establecer un cortafuegos que controlase el acceso al sistema y, claro está, teniendo en cuenta que se han identificado múltiples vulnerabilidades en este sistema de control y que estaba sin protección, terminó ocurriendo la gran fatalidad: un acceso externo no autorizado.
El problema, más allá del control del aire acondicionado, es que el sistema ofreció a los intrusos planos del edificio en los que se habían identificado los puestos de trabajo con los nombres y apellidos de los usuarios (identificando los despachos), es decir, pudieron realizar una "visita virtual" a las instalaciones del edificio. Pero, realmente, lo que más preocupa a las autoridades es que el Niagara AX Framework es un sistema muy utilizado en el control de procesos industriales y la automatización de edificios a nivel mundial y, por ejemplo, las oficinas del FBI, el Pentágono o el Departamento de Justicia usan estos sistemas al igual que otros 20.000 organismos y empresas de todo el mundo con unas 300.000 instancias desplegadas.
Una intrusión en el sistema de aire acondicionado, a simple vista, podría parecer un hecho poco grave, sin embargo, que un tercero controlase a distancia el sistema de refrigeración de un centro de datos o una planta industrial sí que podría ser un problema porque, por raro que pueda parecer, son varios los casos documentados de sistemas que presentan vulnerabilidades y que, sin embargo, están conectados a la red sin demasiadas medidas de seguridad.