La instalación de tratamiento de residuos nucleares de Sellafield ha recibido una multa de 332.500 libras esterlinas (440.000 dólares) por parte de la Oficina de Regulación Nuclear (ONR) por no cumplir con los estándares de ciberseguridad y poner en peligro proyectos nucleares sensibles a la información durante cuatro años, de 2019 a 2023.
Según el anuncio de la ONR, Sellafield no cumplió con sus propios protocolos de ciberseguridad aprobados al dejar sin parchear varias vulnerabilidades en sus sistemas de TI, violando así las Reglamento de seguridad de las industrias nucleares de 2003.
Aunque no se produjo ninguna explotación, las debilidades expusieron a la instalación a riesgos como ransomware, phishing y posible pérdida de datos, que podrían interrumpir operaciones de alto riesgo y retrasar el trabajo de desmantelamiento.
Un desastre inminente
Sellafield es una de las instalaciones nucleares más grandes de Europa, ubicada en Cumbria, Reino Unido. Desempeña un papel importante en la gestión y el procesamiento de materiales radiactivos, procesando más desechos nucleares en un solo lugar que cualquier otra instalación del mundo.
El sitio participa en la recuperación de desechos nucleares, combustible y lodos de antiguos estanques y silos, el almacenamiento de materiales radiactivos como plutonio y uranio, la gestión de barras de combustible nuclear gastadas y la remediación y desmantelamiento de instalaciones nucleares.
Sellafield es una unidad vital del sistema de gestión de residuos nucleares del Reino Unido. La seguridad de sus sistemas informáticos es, por tanto, fundamental para garantizar la seguridad de las operaciones.
El año pasado, un serie de investigación de The Guardian El informe de ciberseguridad de Sellafield destacó varios problemas graves y reveló que los contratistas tenían fácil acceso a sistemas críticos donde podían, entre otras cosas, instalar memorias USB.
Además, abundan las vulnerabilidades bien conocidas dentro de la instalación, lo que le dio al sitio el apodo de “Voldemort” por parte de quienes trabajan allí.
Una auditoría realizada por la empresa de seguridad francesa Atos encontró que alrededor del 75% de los servidores de Sellafield eran vulnerables a ataques con consecuencias potencialmente catastróficas.
Los operadores de la instalación nuclear se declararon culpables en junio de 2024 de incumplimiento de las normas estándar de seguridad informática, reconociendo su fracaso.
La ONR multa a Sellafield pero no ha confirmado ninguna infracción
La ONR investigó estos informes y, aunque confirmó que Sellafield no había cumplido con los estándares de ciberseguridad que sustentan el funcionamiento de estos sitios en el Reino Unido, dice que no encontró evidencia de que las vulnerabilidades fueran aprovechadas en ataques.
Esto contrasta informes anteriores La prensa informó que piratas informáticos rusos y chinos colocaron malware en el sitio y que ya en 2015 se produjeron violaciones de seguridad.
“Una investigación de la ONR […] encontró que Sellafield Ltd no había cumplido con los estándares, procedimientos y acuerdos establecidos en su propio plan aprobado para la ciberseguridad y para la protección de información nuclear sensible, ” lee el anuncio de ONR.
“Se descubrió que persistieron deficiencias significativas durante un período considerable, lo que permitió que persistiera este desempeño insatisfactorio, lo que significaba que sus sistemas de TI eran vulnerables al acceso no autorizado y la pérdida de datos”.
“Sin embargo, no hay evidencia de que se hayan aprovechado vulnerabilidades en Sellafield Ltd como resultado de las fallas identificadas”.
Las inspecciones realizadas por la ONR en Sellafield revelaron que el escenario de un ataque exitoso de ransomware podría descarrilar las operaciones normales en el sitio nuclear durante hasta 18 meses.
Sellafield reemplazó a personas clave en la alta dirección y el liderazgo de TI durante el año pasado para implementar planes para abordar los riesgos de ciberseguridad lo antes posible. Según la ONR, se han observado buenos avances en este ámbito.