aumentaro un 357% el año pasado

La ciberseguridad de la industria española es un sainete, y los ataques se están disparando

España es el quinto país del mundo con más sistemas que controlan todo tipo de instalaciones y procesos industriales conectados a internet, la mayoría sin protección

Foto:

Desde su casa, el hacker Amador Aparicio podría abrir las compuertas que vacían el estanque del Retiro. O cambiar la temperatura de la piscina de un hotel de lujo. España es el quinto país del mundo con más sistemas que controlan todo tipo de instalaciones y procesos industriales conectados a internet, la mayoría sin protección alguna. Los más sensibles, las infraestructuras críticas, están siendo duramente ciberatacados, con un aumento del 357% el pasado año. Y, según los expertos, esta cifra se queda corta.

Amador Aparicio suele dar conferencias de ciberseguridad. Estaba preparando una, sobre sistemas de control industrial, cuando acabó boquiabierto con la de cosas que podía hacer a distancia, como poner en marcha los hornos crematorios de un tanatorio, decidir a partir de qué temperatura ambiente se pondrá en marcha la calefacción de un colegio mayor, o desactivar las alarmas que avisan de presión excesiva en la caldera de un bloque de viviendas.

Estos ciberataques son, además, bastante fáciles, explica Amador: "Si quieres localizar sistemas de control industrial inseguros, lo primero es conocer el fabricante y, con este dato, ir a un buscador de dispositivos conectados a internet como Shodan". En segundos, Shodan muestra un listado de sistemas vulnerables, incluída su ubicación GPS.

Lo siguiente es conseguir el 'software' de gestión que usa el dispositivo que se quiere atacar, para instalarlo en el propio ordenador, de forma que el ordenador del hacker y el dispositivo atacado "hablen el mismo idioma". Según Amador, estos programas se pueden obtener muchas veces en la misma página del fabricante, que está mal protegida y permite descargar lo que se quiera.

Sistema de control del estanque del Retiro de Madrid.
Sistema de control del estanque del Retiro de Madrid.

"El último paso es conectarnos al dispositivo", explica el investigador, algo también relativamente fácil porque, asegura, "muchos dispositivos que controlan procesos industriales o sistemas críticos no presentan ningún tipo de configuración de seguridad". Una vez dentro, se puede modificar el funcionamiento del dispositivo, bien cambiando los parámetros que ponen en marcha el sistema (por ejemplo hacer que se active a partir de la temperatura que queramos), bien modificando la información que tiene en memoria, para que haga cosas inesperadas.

Sin conocimientos o sin cuidado

Aparicio achaca esta falta de seguridad a que "el operario que los ha puesto en internet no tenía los conocimientos o no ha pensado que alguien pueda acceder". Otros dispositivos sí están protegidos, pero "con los datos por defecto que muestra la documentación", datos que puede conocer cualquiera que haya leído el manual. Otro problema, dice el investigador, es que "cada fabricante utiliza sus propios protocolos, inseguros en algunas ocasiones, y no hay una estandarización a la hora de integrarlos".

José Valiente, director del Centro de Ciberseguridad Industrial (CCI), añade: "Hay un número creciente de procesos e instalaciones automatizadas y conectadas con el exterior, en muchos casos a través de internet; todo ha aumentado en la automatización industrial, la complejidad, el uso y la exposición de los sistemas, pero la ciberseguridad no lleva el mismo ritmo".

El quinto país con más sistemas conectados

España es el quinto país del mundo con más sistemas de control industrial conectados a internet, 3.059 a la hora de escribir este artículo. ¿Pero cuántos de forma segura? En este contexto, preocupan especialmente los operadores de servicios esenciales y las infraestructuras críticas. Hackers maliciosos podrían envenenar nuestra agua, sabotear centrales nucleares o dejarnos sin luz, por poner solo ejemplos que ya han sucedido en otros países.

El año pasado se detectaron 479 incidentes de ciberseguridad en infraestructuras críticas situadas en España, un aumento del 357% respecto a 2015 según el Centro Nacional de Protección de las Infraestructuras Críticas (CNPIC), que relativiza este alarmante dato: "En 2016 ha aumentado el número de operadores críticos, también las capacidades del CERT de Seguridad e Industria y el nivel de confianza en sus relaciones con los operadores críticos, lo que ha redundado en un incremento de notificaciones".

Sistema de control de contadores, alarmas y calefacción de un bloque de viviendas
Sistema de control de contadores, alarmas y calefacción de un bloque de viviendas

Aún así, el incremento es notable y eso que, afirma José Valiente, "no han detectado ni el 10% de los incidentes que se están produciendo". Las sondas que recogen estos datos analizan solo el 10% del tráfico de un centenar de operadores críticos, explica el director del CCI. "Si inspeccionasen el otro 90% de tráfico estaríamos hablando de más de 4.000 incidentes en solo estos 100 operadores". Y si incluimos a todos los operadores de servicios esenciales, más de 5.000 en España, "entonces hablaríamos de al menos 100.000 incidentes tecnológicos", afirma Valiente.

Los servicios críticos más atacados en España son, según un estudio del CCI que próximamente verá la luz, "el sector salud, en el que se han registrado más de 40.000 incidentes; seguido del energético, debido a la utilización de tecnología muy reciente en la red eléctrica inteligente".

El 'Informe Anual de Seguridad Nacional 2016' destaca que los incidentes de ciberseguridad en RENFE "han experimentado un incremento exponencial", pero el director del CCI lo matiza: "El sector del Transporte en España es uno de los que mejor nivel de seguridad tiene, especialmente el aeronáutico". El estudio de CCI ha evaluado diferentes sectores y, según Valiente, RENFE obtiene la mejor calificación.

La red eléctrica es la gran preocupación

Pero la gran preocupación de los gobiernos occidentales es la red eléctrica. Y su pesadilla es sufrir un ciberataque como el que dejó siete horas sin luz a Ucrania en un frío diciembre de 2015. ¿Podría pasar esto aquí? "Una vez que ocurren este tipo de incidentes es difícil que puedan repetirse, pero las medidas para garantizar que no se replique no se adoptan en unos pocos meses, así que sí creo que sería posible", asegura el director del CCI.

Un virus llamado BlackEnergy jugó un importante papel en el ataque contra Ucrania y, según afirman fuentes del CNPIC, ciertamente los virus y programas maliciosos son responsables de la mayoría de ataques contra infraestructuras críticas españolas. Su objetivo suele ser robar información, chantajear (caso del 'ransomware') o manipular programas legítimos.

Los incidentes más frecuentes son los que no dejan huella (por ejemplo, robo de información) que no descubrimos hasta pasados meses, años, o nunca

El segundo gran grupo de incidentes contra sistemas críticos detectados por el CNPIC son los bombardeos o "ataques de denegación de servicio", cuya intención es que el servicio deje de funcionar. Como en todo el mundo, en 2016 han repuntado los ataques de 'ransomware' y 'fraude al CEO' también en los operadores críticos españoles. Además, explican desde el CNPIC, "de la mano de Europol se llevaron a cabo varias colaboraciones en la lucha contra las botnets". Afortunadamente, se congratulan, "todos los incidentes se detectaron, gestionaron y resolvieron a tiempo".

Otros observadores no muestran tanto optimismo. Desde el CCI recuerdan que las estadísticas que conocemos son de cosas visibles, como ataques que provocan un caída del servicio o un mal funcionamiento, "pero los incidentes más frecuentes son los que no dejan huella, el robo de información, la alteración de un 'software', un servicio, etc, que no descubrimos hasta que han pasado meses, años, o nunca", afirma Valiente.

El caso de Estados Unidos

En Estados Unidos se están tomando especialmente en serio la defensa de su red eléctrica y expertos que trabajan en ello comparten la visión de Valiente, como Michael Assante: "Estamos entrando en una era en la que más actores son capaces de tener las habilidades adecuadas, de ingeniería en energía además de ingeniería cibernética y habilidades de acceso". Esto lleva a ataques muy dirigidos contra sistemas críticos que pueden tardar semanas o meses en ser detectados.

La atribución de estos ataques es muy difícil, aseguran nuestras fuentes del CNPIC, pero si es posible ver que "la complejidad y sofisticación de los ataques se incrementa año tras año", lo cual implica que tras ellos no haya un individuo aislado sino, según el CNPIC, "organizaciones altamente estructuradas, con especialización en las distintas labores necesarias para construir un ciberataque y que invierten gran cantidad de recursos". Ataques de estas dimensiones solo pueden ser sufragados por millonarios, grandes corporaciones o gobiernos.

En esta liga, la defensa requiere también la fuerza de un gobierno y es justo decir que el español se está poniendo rápidamente las pilas. Como muestra, la Ley de Protección de Infraestructuras Críticas, el Plan Nacional para la Protección de Infraestructuras Críticas, la creación de organismos como el Servicio de Alerta Temprana para sistemas industriales o los nuevos Centros de Coordinación de Ciberseguridad en RENFE y Autoridades Portuarias, o la colaboración de actores públicos y privados en entornos como la Mesa de Coordinación de Ciberseguridad y la producción de documentación como la "Guía de Reporte de ciberincidentes para operadores críticos".

Tecnología

El redactor recomienda

Escribe un comentario... Respondiendo al comentario #1
3 comentarios
Por FechaMejor Valorados
Mostrar más comentarios