La semana pasada Justo Zambrana, Secretario de Estado de Seguridad, alertaba de la debilidad de las infraestructuras críticas en lo que a tecnologías de la información se refiere y hablaba del riesgo de ciberataques contra éstas; unos días más tarde, este mismo fin de semana, ha saltado a los medios ([1], [2], [3]…) el supuesto ataque telemático contra una planta de tratamiento de agua en Springfield (Illinois) -no, no es el Springfield en el que estais pensando…-. Unos piratas rusos -presuntamente- han conseguido romper la seguridad de los sistemas SCADA de la planta y quemar una bomba de agua; aunque no parece haber habido problemas de abastecimiento para la población, se trata del primer ciberataque contra una infraestructura crítica estadounidense según Joe Weiss, reconocido experto en la materia, y el problema no parece ser lo que los piratas hayan hecho, sino (a) lo que han podido hacer y (b) el tiempo que los responsables de la planta han tardado en detectar y reaccionar…
Sea o no cierto que el ataque se ha producido, sea o no cierto que se ha producido desde Rusia contra los Estados Unidos -en recuerdo de épocas pasadas-, sea o no cierto que no ha habido riesgo de desabastecimiento -o de algo peor- para la población, el caso es que esta noticia, este hecho, viene a poner de nuevo en el punto de mira -y ya van muchas veces- la seguridad de nuestras infraestructuras críticas no sólo desde el punto de vista tradicional sino también desde el punto de vista “cibernético”. A los componentes de seguridad “clásicos”, como la protección mediante personas frente a ataques físicos del enemigo, se han añadido estos años componentes de seguridad menos habituales, fruto de la convergencia de la seguridad de la que tanto se ha venido a hablar durante la primera década del siglo. Dicho de otra forma, si hace dos mil años la única manera de atacar una infraestructura crítica era mediante el uso de ejércitos a pie o caballo, o si hace cincuenta años la única forma de hacerlo era mediante ejércitos con tanques, barcos y aviación, hoy en día a estas tres armas se une un punto de vista adicional: el de la ciberguerra. O el del ciberterrorismo. O simplemente, el del cibervandalismo. Acciones clásicas con el prefijo “ciber”, que viene a decir que se desarrollan a través de redes de computadores. Sin un despliegue de miles de hombres y sin un nivel de riesgo considerable para el atacante, estas acciones pueden llegar a sustituir a –o al menos, convivir con- las anteriores, constituyendo un nuevo escenario de seguridad y defensa que preocupa a todos los estados del mundo: el de la ciberseguridad y ciberdefensa, en especial en lo relativo a protección de infraestructuras críticas.
Desde la segunda mitad de los años 90, y en especial durante esta primera década del siglo XXI, la posibilidad de “ciberataques” contra infraestructuras críticas cobra cada vez más fuerza, pasando de sencillas PoC a riesgos reales capaces de impactar de forma clara contra una infraestructura concreta. En el año 2000 un ex-empleado de una planta de aguas residuales australiana la ataca de forma inalámbrica; un buen ejemplo del “insider threat” como amenaza –de los primeros ciberataques en el ámbito civil- a una infraestructura crítica. Tres años más tarde, y como ejemplo adicional de problemas derivados de la conexión a Internet de sistemas que están diseñados para trabajar de forma aislada, el gusano Slammer provoca el apagado de la central nuclear de Davis-Besse. En la segunda mitad de la década las publicaciones que describen vulnerabilidades en entornos SCADA se comienzan a distribuir libremente en Internet, incluyendo (2007) el famoso vídeo “Aurora vulnerability” en el que se sabotea un generador… A partir de aquí la palabra “ciberataque” aparece con mucha frecuencia junto a “infraestructura crítica”: en enero de 2008 la CIA informa que un ciberataque ha causado la pérdida de electricidad en varias ciudades en una localización desconocida fuera de USA, en junio de 2010 salta a los medios generalistas el descubrimiento de Stuxnet… hasta septiembre de 2011, cuando el que ha saltado a los medios generalistas ha sido Duqu, ambos considerados malware muy avanzado capaz de poner en jaque –real, ya no hablamos de hipótesis o estudios teóricos- infraestructuras críticas y, por tanto, vidas humanas. Y ahora, en noviembre de 2011, el primer ciberataque -de nuevo, presunto- exitoso contra una infraestructura crítica estadounidense.
Un riesgo real, preocupante. ¿Y en España? ¿Estamos preparados? El 28 de mayo de 2004 –poco más de dos meses después de los fatídicos atentados del 11M- nace el Centro Nacional de Coordinación Antiterrorista (CNCA), un centro de coordinación y análisis –no operativo- que ejerce funciones de inteligencia, información y coordinación buscando el tratamiento integrado de la información estratégica relativa al terrorismo, tanto en su proyección nacional como internacional. El CNCA es equivalente al JTAC (Joint Terrorism Analysis Centre) británico o al NCTC (National Counter-Terrorism Centre) estadounidense, un órgano de recepción, proceso y valoración de la información estratégica disponible sobre todos los tipos de terrorismo que constituyen una amenaza para España; no tiene una focalización específica en la protección de infraestructuras críticas, sin consideración oficial y específica hasta 2007, cuando se diseña y desarrolla el Plan Nacional de PIC (PNPIC) y se crea el Centro Nacional para la Protección de Infraestructuras Críticas, CNPIC. En los últimos meses, ya en 2011, en España se ha creado legislación específica sobre la protección de infraestructuras críticas: en abril se publica la Ley 8/2011, en mayo el Real Decreto 704/2011 que desarrolla la anterior y, finalmente, el 24 de junio la Estrategia Española de Seguridad.
Vamos, que trabajar, se está trabajando, aunque seguro que queda mucho por hacer y eso nos llevará un tiempo. La protección de infraestructuras críticas es muy compleja: existen muchos agentes involucrados en dicha protección (desde los propios operadores hasta FFCCSE, pasando por el Gobierno de la Nación), y por tanto la coordinación y la comunicación entre ellos debe ser ágil y segura para garantizar la seguridad de estas infraestructuras. Además, el 80% de operadores de infraestructuras críticas pertenecen al sector privado, siendo muchos de ellos compañías multinacionales… ¿El Estado necesita intervenir a las empresas privadas? ¿Cómo se consigue el equilibrio? ¿Hace falta un marco sancionador? Adicionalmente, dentro de la complejidad a la que hacemos referencia, no únicamente nos encontramos ante sistemas en cuya protección se involucra a un gran número de actores sino que, además, nos encontramos que las infraestructuras críticas pueden ser independientes, pero más habitual es que sean dependientes o interdependientes. Esto implica que una infraestructura depende en buena parte de otra –nacional o europea- para su funcionamiento correcto, con lo que un fallo en cascada o un error en un punto único de fallo puede suponer un enorme problema; en especial, si a esta dependencia añadimos que en ocasiones no se conocen del todo bien las interdependencias entre infraestructuras… Para corregir esta situación, desde Europa se está subvencionando activamente a proyectos de I+D+i para modelizar y/o simular estas interdependencias; adicionalmente, los planes para la protección de infraestructuras críticas (en concreto, la confección de catálogos de IC) pueden y deben ayudar a identificar no sólo las infraestructuras, sino también su grado de redundancia y sus interdependencias.
Y desde el punto de vista técnico, volvemos otra vez a la seguridad en entornos de control industrial, sistemas que o bien se diseñaron para trabajar en entornos aislados, sin considerar amenazas provenientes de la otra punta del mundo, o bien están a cargo de equipos que no tienen la idea de la interconexión de sistemas en la cabeza. Cuestión de tiempo. Nos encontramos ahora en la misma situación que teníamos hace quince años con cualquier sistema operativo de propósito general: entornos no diseñados con la seguridad como premisa, abiertos por completo a Internet y accesibles a golpe de telnet, finger o ftp desde cualquier punto del mundo. Vamos, carne de cañón para un pirata, hasta que nos dimos cuenta de que eso no podía ser y se empezaron a bastionar máquinas, implantar cortafuegos y todo eso que hoy parece historia… imagino que algo similar sucederá con los sistemas de control industrial, pero aquí la cosa es más grave: de muchos de esos sistemas dependen infraestructuras críticas (insistimos: vidas humanas en la mayor parte de ocasiones). ¿En cuántos años seremos capaces de tenerlos correctamente protegidos? ¿Tendrá que pasar algo para que nos acabemos de concienciar? Esperemos que no…
Para acabar, aprovechamos esta entrada -y la noticia asociada- para comunicar que en breve publicaremos -entre otros medios, en este mismo blog– un informe que estamos elaborando sobre protección de infraestructuras críticas en España, en el que tratamos de analizar con perspectiva quiénes somos, de dónde venimos y a dónde vamos… lo dicho, en breve :)
Excelente artículo, sin dudas estamos ante una oportunidad inigualable de que se comiencen a tomar las cosas en serio en materia de PIC. En Argentina la situación es similar, recientemente se creó el Programa de Protección de Infraestructuras Críticas, pero al igual que en España, la primer gran tarea es reconocer los activos, es decir, “Saber qué tenemos”.
Yo creo que en caso de conflicto, si de mi dependiese la decision seria aislar mi red del resto mientras dure el mismo.
Hola @mmdelrio, muchas gracias por los comentarios :) Imagino que Argentina estará a la par que España, con buenas intenciones pero con mucho trabajo por delante… lo dicho, esperemos hacer el trabajo antes de que “los malos” lo hagan :)
Saludos
T
Hello xavitxus
Si de mí dependiera también, estoy contigo… el problema es que no sabemos de quién depende :( Al menos de mí, no…