¿Está habiendo ataques a infraestructuras críticas?

Socio-director S2 Grupo

Infraestructuras críticas son, según el Plan Nacional de Protección de Infraestructuras Críticas, “aquellas instalaciones, redes, servicios y equipos físicos y de tecnología de la información, cuya interrupción o destrucción tendría un impacto mayor en la salud, la seguridad o el bienestar económico de los ciudadanos o en el eficaz funcionamiento de las instituciones del Estado y de las administraciones públicas“.

Esta definición ya fue establecida por la directiva europea 2008/114/CE, del 8 de diciembre, subrayando sobre la importancia de “la identificación y designación de infraestructuras críticas europeas y la evaluación de la necesidad de mejorar su protección”.

En nuestro país, existe una lista de infraestructuras críticas, que no es pública, aunque es fácil imaginar qué tipo de instalaciones estarán en ella. Existe también una Ley de Protección de Infraestructuras Críticas y un centro nacional de lo mismo o Cnpic. En el resto de países desarrollados, la situación es bastante parecida. Por lo tanto, queda claro que se les da la importancia debida y que su protección es motivo de preocupación. Una de las perspectivas más importantes de esta protección es la ciberseguridad.

Como especialistas en ciberseguridad, particularmente interesados en el ámbito industrial, más de una vez nos llevamos las manos a la cabeza cuando hacemos una valoración del nivel de vulnerabilidad de las instalaciones que evaluamos.

Por razones históricas y por la rápida evolución de las tecnologías de información y su extensa aplicación, lo que ha llevado a la convergencia digital, las instalaciones industriales se encuentran hoy expuestas a ciberamenazas para las que, en general, no están adecuadamente preparadas.

No se trata de que no estén bien diseñadas o construidas, sino de que lo fueron con criterios que no consideraban este tipo de amenazas. Simplemente, porque en su momento no existían. Además, el problema se agrava porque estas instalaciones no son fácilmente actualizables. Se da el caso de que, descubierta una vulnerabilidad y sabiendo que afecta a una instalación, no se corrige porque no se puede garantizar que el sistema siga funcionando tras la actualización.

Por poner un caso concreto, hace menos de un año se descubrió un fallo en un servidor de HTTPS (web segura) de código abierto que se llama OpenSSL. Resulta que este servidor se usa en muchas instalaciones industriales, entre otras razones porque es gratis. Descubierta la vulnerabilidad –que permite obtener las contraseñas de los usuarios del sistema– se generó el parche correspondiente, pero una gran parte de las instalaciones que lo utilizan, no lo aplicaron, porque no eran capaces de garantizar que los sistemas de control siguieran funcionando.

Hechos y especulaciones
En estas circunstancias, es lícito preguntarse si no deberían estar ocurriendo más incidentes. O si, quizás, estamos exagerando el riesgo. Evidentemente, no se puede responder de manera tajante a estas preguntas y tenemos que entrar, aunque sea parcialmente, en el terreno de las especulaciones.

Sí, se están produciendo incidentes en las instalaciones industriales. Lo admiten todos los implicados, tanto las empresas, como las administraciones y las entidades dedicadas a la coordinación de esfuerzos para la protección de las instalaciones.

También es un hecho que no todos se reportan. Incluso si consideramos incidentes de seguridad en general (no solo ciber), la estimación es que se informa solo del 50 % del total de casos. En el “Mapa de Ruta de la Ciberseguridad Industrial en España 2013-2018”, publicado por el Centro de Ciberseguridad Industrial, se recoge que una de las iniciativas más necesarias es la de desarrollar una cultura y unos medios para favorecer la compartición de información sobre incidentes entre todos los actores implicados.

Por otra parte, sigue aumentando el número de iniciativas para mejorar la protección de instalaciones y el presupuesto destinado a las medidas de control y a la formación de los equipos de profesionales, lo cual es síntoma de que el riesgo es real.

Si me permiten una actitud un poco conspiranoíca, ¿cuántas de las anomalías no explicadas satisfactoriamente pueden haber sido causadas por ataques de ciberdelincuentes o ciberterroristas? Muy recientemente hemos tenido casos en sistemas de control aéreo, aeropuertos enteros, o sistemas de generación y distribución de energía eléctrica que, si uno se pone a pensar, encajarían muy bien en la categoría de primeros ejemplos de ciberataques a los que, por supuesto, no se quiere dar publicidad.

No vayamos a dar malas ideas a quien no las ha tenido todavía o no alarmemos a la población si no podemos hacer nada, porque lo sucedido también puede ser fruto de la casualidad. En sistemas muy complejos, siempre existe el riesgo de un fallo fortuito que cause una caída del sistema.

En cualquier caso, nuestra opinión es que debemos mejorar significativamente la protección de nuestras infraestructuras críticas –muchas de ellas industriales–, antes de que tengamos una incidencia realmente grave.

Si es cierto que se puede realizar un ataque para causar daño, ¿cuánto tiempo pasará antes de que alguien aproveche esa posibilidad?