¿Está España preparada para un ciberataque?
Nuestro país está preparando un Real Decreto para transponer al ordenamiento jurídico la directiva europea 114/2008/CE, siendo éste el verdadero impulso de las actividades del Centro Nacional de Protección de Infraestructuras Críticas (CNPIC).
La noticia del ataque a una central nuclear iraní en junio mediante el gusano Stuxnet, un gusano informático que afecta a los sistemas de control industrial más extendidos, el SCADA (Supervisory Control And Data Acquisition), ha abierto las especulaciones sobre los riesgos a los que se exponen las infraestructuras críticas de todos los países y la posibilidad de que las nuevas batallas se disputen en la red, a parte de “una llamada de atención a todos los países del mundo ante las dificultades de defensa que pueden suponer estos ataques”, comenta Toralv Dirro, responsable de los laboratorios McAfee Labs en EMEA. De hecho, organizaciones gubernamentales como la Unión Europea o la OTAN señalan el ciberterrorismo como uno de los principales desafíos futuros en términos de seguridad.
El uso extensivo de la tecnología ha abierto una nueva tipología de vulnerabilidades, y “dado que la tecnología tiene cabida en todos y cada uno de los distintos sectores estratégicos nacionales, puede ser empleada con el objetivo de cometer actos ilícitos que podrían derivar en acciones terroristas”, señala Fernando José Sánchez Gómez, director del Centro Nacional de Protección de Infraestructuras críticas (CNPIC). Por el momento, los ataques se dirigen principalmente a las redes de transporte, plantas de suministro de energía, empresas e infraestructuras de telecomunicaciones y a las Administraciones Públicas, aunque como indica Marcos Gómez, subdirector de programas de Inteco (Instituto nacional de tecnologías de la comunicación), “el mayor peligro es que son ataques multidisciplinares, muy difíciles de predecir”.
A pesar de la continua evolución, actualmente los ciberterroristas están enfocando sus esfuerzos en “la ingeniería social, las vulnerabilidades de los sistemas SCADA y el defacement, que es sustituir un sitio web por otro alternativo de forma intencionada”, explica Marcos Gómez, como el que sufrió recientemente el Ministerio de Cultura por parte del grupo ‘Anonymous’ que logró dejar en jaque sus recursos online. En cuanto al origen de los ataques, es cierto que es difícil conocer con exactitud su procedencia, aunque desde Inteco, Gómez asevera que “un alto porcentaje de lo que recibimos viene de EE.UU, y otro porcentaje algo menor de Latinoamérica, ya que por el idioma es más fácil entrar en nuestro país. El resto proviene de Asia y los países del Este”.
¿Estamos listos?
En España se han tomado a lo largo de los últimos años acciones en el ámbito de la Administración Pública, como la creación en noviembre de 2007 del CNPIC, como órgano director y coordinador de cuantas actividades estén relacionadas con la protección de las infraestructuras críticas, y otros organismos como Inteco o el CCN que también colaboran en ésta materia, pero ¿estaríamos preparados ante un ataque? Gómez afirma que sí lo estamos, ya que “el pasado 4 de noviembre 27 países de la UE realizaron un simulacro de defensa conjunto ante un ciberataque en el que 150 expertos colaboraron para resolver 320 ataques, y se rechazaron todos con éxito”, aunque “dependiendo de la sofisticación de la ofensiva y el grado de coordinación ningún estado estaría preparado”, apunta Toralv Dirro.
Por otro lado, Marta Oliván, gerente de desarrollo de negocio de sistemas de seguridad de Indra, asegura no lo estaríamos ante un ataque dirigido “por la falta de coordinación de los actores implicados, aunque esto se solventará cuando entre en vigor el Real Decreto de protección de infraestructuras críticas que está preparando el CNPIC”. Ésta normativa, que deberá estar lista el próximo año, será el verdadero impulso ante la defensa de ciberataques y de las actividades del CNPIC, pues persigue transponer a nuestro ordenamiento jurídico la directiva europea 114/2008/CE y garantizar la continuidad de los servicios esenciales y estratégicos del Estado y coordinar e implicar a todos los organismos competentes.
De todos modos, “lo primero que tiene que hacer un país o una organización es identificar qué infraestructuras son realmente críticas, y a partir de ahí elaborar un plan para defenderlas con la mayor agilidad posible si se produjese un ataque, porque lo que está claro es que las medidas tradicionales ya no valen”, explica el responsable de los laboratorios McAfee Labs en EMEA.
El papel del Estado
El Ministerio del Interior, como responsable de garantizar la seguridad nacional, debe proveer de los mecanismos que permitan eliminar o al menos minimizar el riesgo frente a un ataque deliberado. En este sentido, trabaja en conjunción con el sector privado para la mejora de la protección de las infraestructuras críticas nacionales. Además, “el CNPIC actúa como punto de contacto a nivel internacional en el ámbito de la protección de infraestructuras críticas, formando parte por lo tanto de diversos grupos de trabajo a nivel europeo e internacional de ámbito global”, explica Fernando Sánchez, como la Europol, la Interpol o la OTAN. Inteco, por su parte, colabora con el Homeland Security, el departamento de seguridad estadounidense, a la ENISA, la agencia europea de seguridad.
Asimismo, el director del CNPIC comenta que “la empresa privada juega un papel fundamental en tanto en cuanto es en la mayoría de los casos propietaria o al menos responsable de la gestión de muchas de las infraestructuras críticas nacionales. Desde el CNPIC tratamos de colaborar activamente con los propietarios y gestores de las infraestructuras desde el primer momento, de modo que sea posible la identificación y catalogación de la criticidad de las mismas con criterios objetivos”.
Indra, por su parte, tiene una posición privilegiada en ciberseguridad nacional. “A raíz de los atentados del 11 de marzo, la Presidencia de Gobierno se puso en contacto con la alta dirección de Indra para crear una dirección de ciberseguridad que protegiese las fronteras y las infraestructuras físicas (con la mirada puesta en asuntos de inteligencia), y que aunque en un principio sólo dábamos servicio al Ministerio del Interior, ahora también nos lo solicitan empres