Desde que hace ya tres años se descubriera el gusano Stuxnet afectando a instalaciones nucleares iraníes han corrido muchos ríos de tinta hablando de ciberguerra, ataques dirigidos y seguridad de las infraestructuras críticas. No obstante, revisando los incidentes detectados desde entonces no parece que hayamos avanzado mucho en la protección de estas infraestructuras.
Así se deduce de un informe presentado recientemente por la empresa analista de mercado ABI Research, quienes definen a las redes eléctricas como “lamentablemente preparadas” ante la posibilidad, cada vez más real, de un ciberataque. Esto es debido en parte a una reestructuración del sector y a la implementación de las redes eléctricas inteligentes para así gestionar de manera más eficaz la producción y distribución de la electricidad, usando para ello la tecnología informática.
El problema es que esta transición a una red eléctrica inteligente se está realizando sin tener apenas en cuenta la seguridad. Así pues, podemos encontrar, según ABI Research, sistemas de control industrial (SCADA) con métodos de autenticación débiles, con poco uso del cifrado y que pocas veces son capaces de detectar una intrusión, todo ello por centrarse demasiado en ahorrar costes y en mejorar la eficiencia sin preocuparse por la seguridad.
Un buen ejemplo de esta falta de seguridad lo encontramos en la noticia que publicaba el periódico The Wall Street Journal, donde se afirmaba, citando a fuentes del Gobierno de Estados Unidos, que la red eléctrica de ese país estaba sufriendo constantes ciberataques procedentes de Irán. Estos ataques estarían orientados más a causar sabotajes que a recopilar información, por lo que el daño producido en caso de lograr su objetivo podría ser mucho mayor. Aunque no se puede asegurar a ciencia cierta que estos ataques provengan realmente de Irán, es una posibilidad que no se debe descartar.
Este tipo de ataques no son nuevos, pero con sistemas de control de infraestructuras críticas cada vez más conectados a redes civiles como Internet, no es de extrañar que sean uno de los objetivos preferidos por atacantes de todo el mundo.
¿Y en España? Pues no es que nos encontremos en una situación mucho mejor, la verdad. El Centro Nacional de Inteligencia reveló a principios de año que 2012 había sido el peor año en cuanto a ciberataques contra las altas instituciones del Gobierno español, y esto también incluye ataques contra infraestructuras críticas. Más de un centenar de estos ataques fueron considerados graves o muy graves, con consecuencias aún por determinar.
Como medida de prevención y defensa contra este tipo de ataques existe desde hace unos años el Centro Nacional para la Protección de las Infraestructuras Críticas (CNPIC), encargado de coordinar los mecanismos necesarios para garantizar la seguridad de estas infraestructuras. Dentro de ese esfuerzo se engloban tanto organismos gubernamentales como empresas privadas, entre las que nos encontramos las casas de antivirus que actuamos como sistema de detección de amenazas y alerta temprana.
Sobre el papel tenemos varias estrategias a seguir y buenas prácticas a implementar. El problema viene cuando nos topamos con la falta de recursos a la hora de hacer realidad todas esas buenas prácticas, y es que en el difícil contexto de situación económica actual es complicado obtener los fondos necesarios para prácticamente cualquier cosa.
El problema es que los atacantes no necesitan de grandes recursos para causar un gran daño en estas instalaciones críticas. Se ha hablado mucho recientemente de ciberejércitos preparados para lanzar elaborados ciberataques que hagan retroceder a un país a la edad media. No obstante solo hace falta un ordenador, una conexión a Internet y a alguien con los conocimientos suficientes (a veces ni eso gracias a los kits de explotación) para causar un daño importante en las infraestucturas de un país.
Así las cosas, aún podemos dar gracias de que no se producen tantos incidentes de seguridad en este tipo de infraestructuras como podrían suceder. No obstante, no debemos bajar la guardia, y sí destinar cuanto antes los recursos necesarios para prevenir este tipo de amenazas porque puede que cuando nos pongamos a ello, ya sea demasiado tarde.