ciberataques a infraestructuras críticas

La crisis que llegará a España: ¿qué pasará cuando un 'hackeo' deje sin luz a todo el país?

Quizá te parezca un escenario imposible, pero en España ya ha habido intentos de ciberataque a infraestructuras críticas y el Gobierno, de hecho, ha pedido ayuda a una empresa externa

Foto: Foto: Globenwein (Pexels).
Foto: Globenwein (Pexels).

Imagínate que un día, de repente, se te va la luz en casa y descubres que no es un problema de tu compañía eléctrica, ya que ha pasado lo mismo en todo tu barrio. En toda tu ciudad. En todo el país. Y la catástrofe no se ha debido a un fallo involuntario, sino a un ciberataque con un claro objetivo: reventar el suministro eléctrico en toda España. Esa fue la teoría que se barajó esta semana ante el gran apagón en Argentina y, aunque la posibilidad de un ciberataque ha sido casi descartada, ha puesto al muno entero ante una tendencia emergente: los ataques informáticos dirigidos hacia las cadenas de suministros e infraestructuras críticas de cualquier país.

El escenario puede parecer futurista, pero no lo es en absoluto. Estados Unidos ya ha hecho pruebas para ver qué pasaría si su suministro eléctrico fuese vulnerado, mientras que España ya ha sufrido intentos de ciberataque, reconoce las carencias que tendría para afrontarlos y acaba de recurrir a la ayuda de una empresa externa para prepararse ante nuevos intentos. La amenaza, por tanto, es real: España, como cualquier otro país desarrollado, puede sufrir un ciberataque a sus suministros más básicos (agua, luz, aeropuertos...) en cualquier momento. La pregunta ahora es cómo podría producirse y cómo evitarlo.

Así se puede atacar el suministro de luz español

La pregunta está clara: ¿hay posibilidades de que un ciberataque que destroce una infraestructura crítica española como el suministro de luz? No solo es que las haya, es que las amenazas reales ya han tenido lugar: el Centro Nacional de Protección de Infraestructuras y Ciberseguridad (CNPIC), dependiente del Ministerio del Interior, reconoce a este diario que "han existido intentos de accesos ilícitos a este tipo de infraestructuras", si bien es cierto que "en todos los casos han sido infructuosos y detectados con la antelación suficiente para reaccionar si el incidente hubiese ido a más".

Y puestos a intentarlo, ¿se puede tumbar un suministro como el sistema eléctrico español? Hay quien ha demostrado que sí. En marzo de 2011, el experto Rubén Santamarta dio una charla en Madrid en la que mostró como podía echar abajo la red eléctrica en España. Su método era distinto al que podríamos pensar: aunque solemos imaginar ciberataques por fuerza buta que tiran un sistema informático de golpe, el método de Santamarta era distinto. Su estrategia era acceder a los Controladores Lógicos Programables que dirigen el sistema de la red eléctrica española, hacerse con el control de ellos e ir debilitando el suministro poco a poco. Por ejemplo, podría bajar la tensión del suministro mientras modifica las pantallas de control, que no mostrarían ningún anomalía. Así pues, mientras los responsables de ciberseguridad de la electricidad española creen que todo va bien porque no salta ninguna alarma, él iría cambiando parámetros y debilitando el sistema hasta hacerlo caer en un momento dado. Esta estrategia fue la misma que siguieron Estados Unidos e Israel con Stuxnet, el ataque con el que tiraron el suministro de 1.000 centrifugadores de una planta nuclear de Irán.

Para imaginarnos más de cerca cómo sería un ciberataque así, le hemos pedido a Román Ramírez, fundador del congreso de ciberseguridad RootedCON, que nos cuente cómo se podría materializar. "Si yo tuviera que encargarme de un ataque contra una infraestructura crítica estaría un tiempo preparándome. Identificaría localizaciones, personas, horarios, fabricantes de la tecnología involucrada... Luego iría a sitios de segunda mano a comprar los mismos aparatos industriales. En paralelo, iría plantando trampas para captar empleados de mi objetivo, tratando de seducirlos o engañarlos para que ejecutaran algo en su red (voluntaria o involuntariamente). También inspeccionaría localizaciones físicas, tratando de ver puntos débiles por los que meterme físicamente: Google Maps es una ayuda potentísima para planificar un asalto físico a una instalación".

Con todo lo anterior, "prepararía un plan de ataque en distintas etapas. Primero infectar objetivos, luego consolidar mi acceso y mantenerlo de manera encubierta mientras voy explorando la red y ganando visibilidad. Cuando fuera a lanzar el ataque masivo, prepararía en paralelo una campaña comunicativa muy agresiva magnificando las consecuencias. Imaginemos que somos capaces de cortar la luz en un barrio concreto y hacemos creer a la población que ha sido porque ha caído un artefacto nuclear en la zona. Nuestro objetivo tiene un problema dual ahora mismo: tiene que involucrar a sus gabinetes de crisis y comunicación para defenderse, no solamente de un ciberataque, sino también de la histeria de la población, la presión por parte de la administración, accionistas, etc. A veces es más efectiva la campaña de propaganda que el propio ataque en sí mismo".

Foto: EFE/Juan Carlos Hidalgo
Foto: EFE/Juan Carlos Hidalgo

¿Cómo reaccionaría España a un ciberataque?

En caso de producirse el ciberataque, los principales afectados (Red Eléctrica Española y las compañías eléctricas) recibirían ayuda del CNPIC, que tiene responsabilidad a la hora no solo de solucionar posibles ciberataques, sino también de buscar, de manera proactiva, posibles amenazas antes incluso de que sean efectivas. Si se diese el caso, el jefe del Servicio de Ciberseguridad y la Oficina de Coordinación Cibernética del centro asegura que "abriríamos comunicación con los operadores para disponer de toda la información necesaria y la intercambiaríamos con los equipos de respuesta a incidentes (CSIRT) oportunos, de cara a evaluar si pueden apoyar la resolución del incidente".

En ambos casos, "el objetivo sería disponer de toda la información para facilitar la toma de decisiones a nivel estratégico como técnico, fundamentalmente en los casos en que se requiera una coordinación interministerial o incluso a nivel europeo o internacional. Se podría activar la gestión de crisis de la Comisión permanente de Ciberseguridad, coordinada por el Departamento de Seguridad Nacional de Presidencia del Gobierno, y con la participación de distintos ministerios responsables en ese proceso".

Desde el CNPIC nos aseguran que "las labores de recuperación [ante un ciberataque al suministro] son responsabilidad del operador afectado, tal y como establece la normativa nacional", pero "pueden verse complementadas con el apoyo técnico de los CSIRT nacionales". En cualquier caso, muestran una lógica cautela a la hora de darnos información: "El procedimiento puede variar en sus actividades dependiendo del tipo de incidente y del impacto real que haya generado".

Un organismo dependiente del Ministerio del Interior es el encargado de prevenir y solucionar ciberataques a infraestructuras críticas

Este periódico ha contactado con Red Eléctrica Española (REE), Naturgy, Endesa e Iberdrola para conocer su versión sobre si sería posible un ciberataque al suministro eléctrico en España y cómo lo abordarían. Las tres primeras han declinado participar en este reportaje, aludiendo, entre otras cosas, cuestiones de seguridad. Desde Iberdrola nos cuentan que "si un ciberataque consiguiese pasar todas las barreras de protección se procedería al aislamiento de los activos afectados para minimizar el impacto y se movilizarían los recursos necesarios para la pronta recuperación del servicio".

En cualquier caso, la eléctrica considera que "la posibilidad es muy remota. Las inversiones que se han realizado en infraestructuras en los últimos años permiten mitigar un posible efecto cascada y acotar el impacto de un incidente en la red". Esta teoría es apoyada por una fuente interna de una gran eléctrica española que sí ha querido hablar, pero sin dar públicamente su nombre: "Imaginar un ciberataque así en España es impensable. Igual te puedo dar un 0,01% de probabilidades, pero es casi imposible". Para justificar su posición argumenta que "la red eléctrica en toda Europa es mucho mejor que la que hay en muchos países de Latinoamérica o incluso que la de Estados Unidos. Además, todos los países y empresas europeas hacemos pruebas constantemente e invertimos en seguridad y en tecnología para que esto nunca pase".

Foto: EFE/Enric Fontcuberta.
Foto: EFE/Enric Fontcuberta.

"Un atacante con medios tiene las de ganar"

Desde el CNPIC también se hace un llamamiento a la calma, aunque se reconoce el potencial peligro: "Hay nuevas vulnerabilidades que si no son adecuadamente gestionadas pueden derivar en incidentes de ciberseguridad. En este sentido, ningún país está exento de sufrir un incidente de ciberseguridad, si bien es cierto que en lo que respecta a las medidas normativas, de planificación y gestión de incidentes de ciberseguridad España está en un nivel superior a la media de los países de la UE, ya que se ha desarrollado un Real Decreto ley 12/2018 para la seguridad de las redes de información y comunicaciones y somos el primer país en la UE en publicar una Guía Nacional de Notificación y Gestión de Ciberincidentes, con participación del CNPIC y de los CSIRT nacionales".

Román Ramírez prefiere rebajar el optimismo: aunque "todas las naciones tienen capacidades para evitar un ciberataque" y "el adversario puede atacar pero los que trabajamos en defensa también tomamos acciones de protección", lo cierto es que "un atacante con medios y comprometido con la tarea de hacerte daño suele tener las de ganar".

Tamara Hueso, analista de ciberseguridad, apunta en similar dirección: "En España hay muy buenos profesionales del sector", pero "hay muchísimas formas de ejecutar un ataque a una organización, y el problema es que la empresa tiene muchos sistemas y servicios que proteger, pero los ciberdelincuentes con que encuentren uno vulnerable ya tienen muchas probabilidades de éxito. Aún no somos conscientes del peligro existente. Porque no es sólo que se pueda dejar a un país sin luz, es que puede afectar a las centrales nucleares, presas hidroeléctricas y puede haber catástrofes naturales".

Foto: EFE.
Foto: EFE.

El Gobierno reconoce carencias y pide ayuda

En cualquier caso, al Gobierno español le preocupa, y mucho, la potección de las infraestructuras críticas y su ciberseguridad. Tanto es así que el pasado 7 de enero el Ministerio del Interior sacó a concurso público un contrato de "soporte de ciberseguridad gestionada y de análisis en profundidad de las tareas de protección y seguridad para la gestión, seguimiento y resolución de incidentes de ciberseguridad y ciberterrorismo" que incluye entre sus objetivos el cuidado de las infraestructuras críticas.

En la memoria justificativa de este contrato, el propio CNPIC asegura que "el crecimiento en el número de incidentes de ciberseguridad con impacto en los operadores críticos y en lo servicios esenciales y otros considerados estratégicos nacionales (...) requiere de una potenciación y continuidad que permita operar las 24 horas del día, los 7 días de la semana y los 365 días del año".

En este sentido, además, el organismo reconoce que este tipo de labores "actualmente no puede prestarse directamente por el CNPIC ni por las Direcciones Generales de la Policía y Guardia Civil, al carecer de las capacidades descritas para el tratamiento y la gestión de la ciberseguridad". Finalmente, el Gobierno adjudicó esta semana el contrato a Eulen por 318.991 euros.

El Gobierno pagará 318.000 euros a Eulen por ayudar al CNPIC, Policía Nacional y Guardia Civil a ciberproteger los suministros esenciales

La alerta de España no es ajena a otros países, ni mucho menos. Sin ir más lejos, el Departamento de Energía de Estados Unidos realizó el pasado mes de noviembre una simulación de ciberataque contra el suministro eléctrico de todo el país para evaluar sus destrezas a la hora de evitarlo o minimizarlo. Una vez iniciado el ensayo, el Gobierno americano evaluó su rapidez a la hora de detectar el origen del ataque, su daño sobre el suministro y el tiempo necesario para devolverlo a la normalidad. Lo cierto es que a Estados Unidos no le resultan ajenas estas cuestiones: su gobierno, junto al de Israel, creó en 2010 un gusano con el que destrozaron el suministro de 1.000 centrifugadores de una planta nuclear de Irán, y a día de hoy amenaza con hacerle algo similar a Rusia.

Ucrania también ha sufrido las consecuencias de los ataques a sus cadenas de suministro merced a BlackEnergy, un 'malware' que interrumpió el funcionamiento de sus centrales eléctricas. En total, cerca del 30% de las infraestructuras críticas de todo el mundo han sido violadas alguna vez, según el informe The State of Security in Control Systems Today.

La alerta, por tanto, existe. Porque, en plena era de los ciberataques, la mayoría ya no se producen solo para robar datos o información privada de grandes empresas, sino también para delitos tan graves como destrozar los suministros elementales de un país y dejarlo en jaque. En ciberseguridad existe un dicho: "Hay dos tipos de empresas: las que han sido 'hackeadas'... y las que lo serán". Habrá que ver si, más pronto que tarde, tenemos que extender esa frase al ámbito de todos los países a nivel mundial.

Tecnología

El redactor recomienda

Escribe un comentario... Respondiendo al comentario #1
14 comentarios
Por FechaMejor Valorados
Mostrar más comentarios