El reto de la Ciberseguridad Industrial

En los últimos años estamos asistiendo a un cambio vertiginoso y radical en el Mapa de Riesgos que afectan a los sistemas de control industrial (ICS).

Tradicionalmente este tipo de sistemas han estado aislados físicamente y desarrollados con sistemas y protocolos específicos pero, en aras de la eficiencia y la flexibilidad, se han integrado con los sistemas estándar de las tecnologías de la información y comunicaciones, con la particularidad de que un fallo en su funcionamiento puede causar la destrucción de equipamiento de costes elevados, la interrupción de operaciones críticas a todos los niveles, un gran impacto económico, una pérdida importante de confianza e incluso la pérdida de vidas humanas.

Los ICS (Sistemas de Control Industrial, por sus siglas en inglés: Industrial Control Systems) en general, encargados de controlar líneas de producción, sistemas de protección contra incendios, arranque y parada de grupos electrógenos, etc, o los distintos tipos en particular: PLCs (Programable Logic Controllers), SCADAS (Supervisory Control and Data Aquisition), RTE (Real Time Embedded Systems), RTU (Remote Terminal Unit), etc., integrados en el mundo TI aprovechan, por tanto, las grandes ventajas de esta tecnología, pero están expuestos a un mundo lleno de nuevas amenazas.

Nos encontramos con un problema añadido al abordar la seguridad de este tipo de sistemas. La convergencia entre los Sistemas de Información Corporativa y los Sistemas de Control Industrial nos ha trasladado a un mundo en el que máquinas, personas e información están interconectados entre sí intercambiando datos, órdenes de control o información a todos los niveles. Mientras los Sistemas de Información Corporativa han estado habitualmente gestionados por profesionales del mundo TIC, los Sistemas de Control Industrial han estado gestionados por otros colectivos como el de los Ingenieros Industriales que, en líneas generales, se ha mantenido alejado y distante del mundo digital y, sobre todo, de sus amenazas. Este es uno de los grandes obstáculos que tenemos que salvar: la incredulidad de los profesionales que gestionan y manejan este tipo de sistemas de control ante la posibilidad de sufrir un “Ciberataque” que afecte al normal funcionamiento de los Sistemas de Control Industrial. Por decirlo de otra manera, una gran mayoría de estos profesionales, directamente, no creen que este tipo de incidentes, ya sea de una forma fortuita o deliberada, puedan producirse y aún en el caso en el que puedan producirse, la inmensa mayoría está convencida de que el impacto sobre el funcionamiento de sus sistemas industriales sería mínimo. Esta creencia representa, en si misma, un problema muy serio para las empresas en particular y para la sociedad en general cuando los sistemas de control industrial son los responsables de velar por el buen funcionamiento de lo que conocemos por Infraestructuras Críticas Nacionales.

Todos los países desarrollados se han puesto manos a la obra a marchas forzadas con declaraciones, normativas, leyes, guías de buenas prácticas y todo tipo de documentos que, entre otras muchas cosas, coinciden en la necesidad de conseguir, a toda costa, una cultura de la ciberseguridad apropiada a las amenazas a las que nos enfrentamos como sociedad.

Así, por ejemplo, la Unión Europea ha publicado, en febrero de 2013, su “Estrategia de Ciberseguridad de la Unión Europea” donde afirma que “Los incidentes de ciberseguridad, tanto deliberados como accidentales, están incrementándose a un ritmo alarmante y podrían llegar a perturbar el suministro de servicios que damos por descontados como el agua, la asistencia sanitaria, la electricidad o los servicios móviles”.

Hasta la fecha la oscuridad con la que se han tratado este tipo de incidentes no ha ayudado mucho a que determinado tipo de colectivos aprendan de los problemas ajenos y de hecho, uno de los aspectos en los que están incidiendo las estrategias de ciberseguridad que se están diseñando por parte de los estados es la obligatoriedad de informar, a los órganos competentes en la materia, sobre los incidentes de seguridad, con el fin de poder compartir información entre organizaciones que ayude a evitar que el mismo tipo de amenaza pueda materializarse sobre más de un objetivo. Cuando nos paramos a leer con detenimiento los sumarios ejecutivos o las exposiciones de motivos de todas estas normas, directivas, leyes o documentos de todo tipo se da cuenta de la dimensión del problema al que nos estamos enfrentando. Según el Foro Económico Mundial hay un 10% de probabilidad de que se interrumpan sistemas críticos en los próximos 10 años con daños por valor de más de 250.000 millones de $. Una afirmación parecida la recoge Gartner en sus predicciones para los próximos años. Symantec valora las pérdidas mundiales anuales por ciberdelincuencia en 300.000 millones de $. En una consulta pública en Europa casi el 57% de los encuestados declara haber sufrido durante el año pasado incidentes de seguridad con un impacto significativo en sus actividades.

La motivación por la que se produce este tipo de ciberataques es múltiple y variada según los expertos. Desde el simple despecho de empleados insatisfechos al espionaje industrial, pasando por el hacktivismo, el ciberterrorismo, el ciberterrorismo de estado, los accidentes o el puro hacking perpetrado por mafias con intereses claramente económicos.

Esto no parece suficiente. Nuestra percepción, como expertos en la materia, es francamente negativa. El grado de desconocimiento en nuestra sociedad es alarmante. Se recoge en las encuestas. Según el eurobarómetro de 2012 el 71% de los españoles reconoce estar mal informado de los riesgos relacionados con la ciberseguridad, frente al 58% de los europeos. Si en los casos de ciberdelincuencia en general la situación es alarmante, en el caso de los sistemas de control industrial en particular, y por tanto de la ciberseguridad industrial, nuestra percepción es que la situación es mucho más grave. En términos generales no se percibe el riesgo. Se percibe como un vector de desarrollo de negocio para las empresas consultoras especializadas en seguridad. Evidentemente eso es cierto, es una oportunidad de desarrollo de una carrera profesional para todos los expertos en seguridad, pero tan cierto como esto es que las ciberamenazas sobre nuestra sociedad existen y si no actuamos pagaremos las consecuencias.

La estrategia de ciberseguridad europea acaba con un “Ha llegado el momento de actuar”. Leon Panetta, Secretario de Defensa de los EEUU ha llegado a decir que “el próximo Pearl Harbor podría consistir en un ciberataque que hiciera descarrilar trenes de pasajeros o cargados con sustancias químicas letales”. Sin llegar a analizar estos extremos, desde estas líneas queremos hacer un llamamiento a la acción, una petición para que se aplique el sentido común y se revise la seguridad de todos y cada uno de los sistemas conectados de una u otra forma a la red, ya sea porque gestionamos una infraestructura importante, ya sea porque queremos proteger nuestros secretos industriales, ya sea porque no queremos que nos roben o que la competencia se entere de nuestra estrategia comercial. Sea por el motivo que sea hagan ustedes que sus equipos técnicos, informáticos o no, revisen la seguridad digital de sus sistemas. Construyamos entre todos una sociedad segura protegiendo no solo la sociedad física tradicional, sino también, la sociedad digital en la que vivimos desde hace ya años.

Seguridad y Redes Sociales

(Este artículo fue publicado previamente por José Rosell en la revista Economia3)

Es un hecho, y por tanto no vamos a extendernos en su justificación en estas líneas, que los procesos de negocio son altamente dependientes de la tecnología y que cada vez lo son más y no solo de la tecnología en sí misma, sino del uso que hacemos de ella.

En los últimos años hemos asistido asombrados al nacimiento y desarrollo vertiginoso de las redes sociales en el mundo. La rapidez de su expansión y su intensidad de uso, así como su importancia en todos los campos de nuestra sociedad, están obligando a organizaciones de todo el mundo a tomar cartas en el asunto. Por si fuera poco, la reciente proliferación de dispositivos móviles, “smartphones” y tabletas, que nos permiten un acceso ubicuo a la información, ha terminado de complicar el panorama desde el punto de vista de la gestión y el control de la información.

En 2008 el 45% de los internautas eran usuarios de redes sociales mientras que en 2011 lo son el 91%, de los que el 55% usan las redes sociales a través de dispositivos móviles. (Fuente: Observatorio de redes sociales del BBVA. IV Oleada. Abril de 2012)

Un factor adicional que hace más complicado el análisis del uso de las redes sociales y su impacto en nuestras organizaciones son los continuos vaivenes de su tipología y forma de uso, como se desprende del citado informe. Cuando empezamos a entender sus implicaciones y diseñamos una tímida pauta de actuación en esta materia, nos podemos encontrar con que su uso haya cambiado o “mutado” hasta el punto de dejar nuestras medidas obsoletas. No hay más que ver que, según el mismo estudio, en 2008, el uso de twitter entre los internautas apenas alcanzaba el 1% mientras que en 2011 la cifra de usuarios activos de twitter alcanzaba el 32%, cifra que se incrementa hasta el 51% si contamos usuarios que no se consideran especialmente activos en la red social.

[Read more…]

Servicios de inteligencia social contra los ataques de ingeniería social

(Este artículo fue publicado previamente por José Rosell en la revista Economia3)

Wikipedia define ingeniería social como “la práctica de obtener información confidencial a través de la manipulación de usuarios legítimos”. Cuando nos referimos al uso de esta técnica relacionada con los Sistemas de Información y Comunicaciones podemos decir que “es una técnica usada para obtener información, acceso o privilegios en sistemas de información que les permitan realizar algún acto que perjudique o exponga la persona u organismo comprometido a riesgo o abusos”. O sea, vulgarmente podemos decir que la ingeniería social consiste en el uso de todo tipo de triquiñuelas para engañar a una persona, aparentemente confiada, para que permita el acceso, sin darse cuenta, a su ordenador y por tanto en la red de su casa, o de su empresa, o del organismo donde desarrolle su actividad. Una vez dentro de la red el “ingeniero social” no tendrá más que extender sus tentáculos en la red y dedicarse a localizar al objetivo realmente deseado que, normalmente, no tiene por qué coincidir con el destino del ataque inicial.

La ingeniería social se compone por tanto de técnicas de engaño de todo tipo, tanto en el mundo físico como en el virtual que, desgraciadamente, están muy de moda hoy en día, sobre todo en su faceta relacionada con las TIC. Actualmente la ingeniería social es uno de los vectores de ataque más peligroso y que más se está utilizando para tomar posiciones de privilegio en redes ajenas obteniendo acceso a la información de las mismas a través de los empleados de las propias organizaciones.

¿Con qué fin? Muy sencillo. Con el fin de causar un daño. Ya sea porque trabajamos en una organización que tiene algún interés económico o de otro tipo para el atacante. Ya sea porque simplemente quieren robarnos o porque quieren información que tiene un valor en el mercado. Lo que quiere este tipo de “ciberdelincuentes” modernos, como cualquier otro tipo de delincuente, es apropiarse de forma ilícita de cualquier cosa que tengamos que merezca la pena en nuestra organización: nuestros resultados de investigación y desarrollo, el diseño de los procesos industriales, nuestra cartera comercial, nuestra lista de precios y sus márgenes, la fórmula de un producto, nuestra estrategia de cara al mercado en los próximos años, una lista de personas con números de cuenta, el listado de los enfermos que han pasado por un Hospital, nuestros planes de expansión, etc…

Aunque este tipo de ataques son muy antiguos, en el mundo TIC fueron popularizados por un famoso “hacker”, según se autodefine él mismo, conocido con el pseudónimo de “Cóndor”, Kevin D. Mitnick ,que contó sus experiencias y su historia personal en su libro “The Art of Deception: Controlling the Human Element of Security” (ver el post al respecto en Microsiervos) escrito en el año 2002, y que acabó, por cierto, en la cárcel en el año 1995 tras múltiples juicios.

Esta técnica se sustenta en el principio de que el punto más débil de cualquier sistema de defensa somos las personas. Mitnick defiende que un buen ataque de ingeniería social se diseña teniendo en cuenta cuatro principios básicos de las relaciones humanas:

  • Todos queremos ayudar.
  • El primer movimiento es siempre de confianza hacia el otro.
  • No nos gusta decir No.
  • A todos nos gusta que nos alaben.

En el mundo TIC este vector de ataque tiene especial relevancia en el ámbito profesional desde hace unos años ya que hemos asistido a la caída de las fronteras digitales de las compañías a una velocidad de vértigo. Hace poco discutíamos si debíamos o no considerar dentro del perímetro de la seguridad de las organizaciones lugares como los domicilios de determinados empleados y hoy nos encontramos con que la frontera ya no son los espacios físicos, ni las máquinas, ni siquiera las redes. Hemos desdibujado las fronteras. La frontera actual somos nosotros, las personas, que con un sinfín de dispositivos móviles de todo tipo hemos puesto en jaque alguno de los principios establecidos hasta la fecha de la ciberseguridad.

En estas condiciones es muy fácil, hoy por hoy, lanzar un ataque de ingeniería social y tener éxito. De hecho, S2 Grupo ha tenido durante muchos años como norma no hacer este tipo de pruebas porque el éxito de las mismas estaba garantizado. Hoy en día hemos cambiado totalmente nuestra estrategia porque el objetivo no es comprobar si podríamos tener éxito, sino enseñar a nuestros clientes, a través de simulaciones de este tipo de ataque, a protegerse de los mismos.

Imagínense ustedes en un ascensor de un edificio público o de oficinas que dejamos en el suelo una llave USB con una etiqueta que pone CONFIDENCIAL. ¿Qué creen que pasará con esa llave USB? ¿Cuánto tiempo creen que pasará hasta que una persona pinche esa llave USB en un ordenador de una red? ¿Qué creen que pasaría si en esa llave USB hubiese un fichero llamado “nominas2012.xls” o “reestructuración gobierno.doc”?

Pasaría lo que pasa siempre. Alguien, más temprano que tarde, sin ninguna mala intención, introduciría la llave USB en un ordenador de una red y alguien, movido por una curiosidad natural en el ser humano, abriría alguno de los ficheros contenidos en la llave USB. A partir de ese momento, el fichero adjunto nos permitiría desplegar en el equipo, y posteriormente en la red, algún tipo de malware que nos permitiría tomar privilegios en la red y desarrollar nuestra actividad delictiva a nuestro antojo.

Pero no se crean ustedes que hace falta usar el truco de la llave USB en la oficina. Al fin y al cabo podríamos argumentar que ese ataque requiere un acceso físico al edificio. Este tipo de ataques nos pueden venir a través del envío de un correo electrónico a personas escogidas de la organización (spear phishing) simulando un simple correo electrónico de una agencia de viajes, con la que nuestra empresa trabaja habitualmente, informando sobre ofertas especiales para empleados de la compañía en un adjunto, que por supuesto estaría convenientemente infectado con algún tipo de malware, o suplantando la identidad de un compañero del departamento de RRHH que nos remite supuestamente un fichero pdf con nuestra nómina que lleva un troyano.

Son muchas las variantes que podemos encontrar de ataques de ingeniería social, desde ataques genéricos en los que “caen” pocos individuos (un “phishing” masivo para obtener contraseñas bancarias), hasta los ataques perfectamente estudiados y dirigidos en los que hay que ser realmente desconfiado para no “caer” en la trampa (como el “spear phishing” comentado anteriormente). Tengan ustedes en cuenta que a poco que seamos habilidosos con las búsquedas en Internet, seremos capaces de averiguar, de algunas personas, su DNI, su teléfono, su dirección, el apartamento que tiene, su correo electrónico, el último viaje que ha hecho publicado por su hija en twitter, incluso el nombre de su gato sacado de facebook o el de su vecino de arriba que ha puesto una denuncia por un aparato de aire acondicionado que hace mucho ruido. La información está en la red. Solo hay que saber encontrarla.

Para combatir esta amenaza se diseñan servicios de inteligencia social orientados a la protección de la información frente al “factor humano”, orientados a mitigar el riesgo de sufrir, directa o indirectamente, ataques de ingeniería social. Estos servicios empiezan por analizar las organizaciones para detectar posibles objetivos de ataques de ingeniería social y se encargan, entre otras cosas, de entrenar a la organización para que esté atenta ante este tipo de amenaza. De forma periódica y controlada, equipos expertos contratados a tal fin lanzan oleadas de distintos tipos de ataques orientados a medir el grado de protección de las organizaciones ante este tipo de amenaza y con el fin de que sirvan como píldoras de concienciación para todos los miembros de la organización.

Estos ejercicios deben enmarcarse en los programas de concienciación globales en materia de ciberseguridad y son de vital importancia de cara a garantizar la seguridad de las organizaciones en el futuro. Así lo recogen las agendas digitales y las estrategias de ciberseguridad que se están publicando en el mundo y que inciden en que uno de los factores clave para el uso de las TIC en la sociedad y en los negocios es el fomento de la seguridad a través de la concienciación.

SCI versus SIC: Sistemas de Control Industrial frente a Sistemas de Información Coorporativa

La conexión masiva de los últimos años de todo tipo de equipamiento a Internet ha configurado un nuevo mundo digital donde la información, los individuos y las máquinas se comunican entre sí a todos los niveles.

Empezamos esta revolución del ciberespacio con la incorporación masiva de la información, seguimos incorporándonos nosotros, con el fenómeno de las redes sociales, y, en paralelo, estamos incorporando paulatinamente a las máquinas. Poco más nos queda. Estamos todos. Empieza el espectáculo.

A principios de 2012 CISCO estimaba que en el mundo existían 14.000 millones de dispositivos conectados a Internet sobre una población del orden de 7.000 millones de personas y un total de direcciones IP en torno a 4.300 millones. La misma compañía estimaba, según el ritmo de crecimiento previsto, que en 2020 esa cifra llegaría a 50.000 millones. Evidentemente hablamos de todo tipo de dispositivos smartphones, laptops, PLCs, ordenadores, sistemas de control y un largo etcétera.

Ya tenemos aquí esa cibersociedad montada sobre el ciberespacio bautizado por William Gibson en su novela Johnny Mnemonic (1981) y popularizado en su novela de ciencia ficción Neuromante(1984), con miles de millones de “individuos digitales” comunicándose entre sí. Lógicamente necesitamos trabajar para que esa cibersociedad sea cibersegura. Ahora bien, para avanzar en la seguridad de la cibersociedad debemos analizar con detalle la seguridad de las partes que lo componen.

El sector de la seguridad conoce bien los Sistemas de Información Corporativa y trabaja en su seguridad desde hace bastante tiempo. Los Sistemas de Control Industrial son otra cosa. Nuevos sistemas y nuevos escenarios que requieren nuevas soluciones. Es necesario caracterizar el nuevo escenario para diseñar las soluciones que requiere. Una buena forma de hacerlo es compararlo con lo que ya conocemos.

Por este motivo quería centrarme en este post en analizar algunas de las diferencias fundamentales entre dos grandes sistemas con los que tradicionalmente hemos convivido. Uno de ellos es un gran conocido para todos nosotros: Los Sistemas de Información Corporativa (SIC). Quien más y quien menos, directa o indirectamente, se habrá topado con uno de ellos cara a cara. Ya sea en su propio trabajo, en la oficina del banco o con la banca online, en el supermercado cuando la cajera hace la cuenta de lo comprado o en la compañía telefónica cuando se consulta el tiempo de permanencia que nos queda antes de que podamos cambiar de compañía sin coste para nuestro bolsillo. Detrás de todas estas operaciones hay sistemas de información de las compañías en las que trabajamos o nos dan servicio. Tal vez no sea tan evidente la existencia del otro gran tipo de sistemas: Los Sistemas de Control Industrial (SCI) que, aunque muchos de nosotros no nos topemos cara a cara diariamente con ellos, si sentimos su presencia. Hablamos de los sistemas que controlan las líneas de producción, los sistemas que controlan el suministro de bienes esenciales como la luz, el agua o el gas, los sistemas que gestionan la seguridad de locales de pública concurrencia y un largo etcétera.

Ambos llevan mucho tiempo con nosotros. Incluso los Sistemas de Control Industrial, aunque no lo parezca, llevan mucho más tiempo con nosotros que los Sistemas de Información Corporativa. Tal vez no tan sofisticados, y desde luego no tan “conectados”, pero sin duda más antiguos. A pesar de ser más “jóvenes”, los Sistemas de Información Corporativa se incorporaron mucho antes al ciberespacio y, por tanto, llevan ya un largo camino recorrido en lo que tiene que ver con la ciberseguridad.

Aunque son sistemas totalmente diferentes, no solo por su función sino también por su diseño y concepción, hoy por hoy comparten ya en muchos casos las tecnologías y los medios por los que se comunican. En gran medida ambos tipos de sistemas forman parte de la cibersociedad que comentábamos antes, son piezas de lo que llamamos el “Internet de las cosas” (IoT) y están todos en el ciberespacio.

Una de las principales diferencias entre ambos tipos de sistemas es el tipo de profesionales que los gestiona. Por su propia naturaleza, los Sistemas de Información Corporativa están gestionados tradicionalmente por Ingenieros Informáticos e Ingenieros de Telecomunicaciones, mientras que los Sistemas de Control Industrial han estado gestionados por Ingenieros Industriales, de Caminos, Aeronáuticos, Agrónomos, Químicos, etc… Ambos perfiles tienen grandes diferencias en todas sus facetas profesionales. Los primeros nacidos en la era de las TIC. Los segundos formados teniendo a las TIC como un medio y no como un fin y prestándole, años atrás, poca atención a lo que las TIC implicaban para los sistemas que gestionaban. Lenguajes diferentes para describir una misma realidad. Esta diferencia supone, sin duda alguna, un obstáculo a la hora de abordar el problema de la incorporación segura de los Sistemas de Control Industrial al ciberespacio.

Otra gran diferencia la encontramos en el significado del concepto de “tiempo real” en los dos mundos. Me gusta mucho la diferenciación que en algunos textos se hace del “right time” para los Sistemas de Información Corporativa frente al “real time” para los Sistemas de Control Industrial. Creo que este juego de palabras identifica muy bien las necesidades, en este sentido, de cada tipo de sistema.

Es también importante, a la hora de establecer las peculiaridades de cada sistema, contemplar la imposibilidad de apagar y encender un equipo como medida preventiva o correctiva en un Sistema de Control Industrial y, por tanto, la necesidad imperiosa de mantener la disponibilidad de este tipo de sistemas, frente a la necesidad de vigilar la confidencialidad e integridad de la información en los Sistemas de Información Corporativa. Por este motivo en los Sistemas de Información Corporativa se diseña la estrategia de la seguridad para la defensa de la información, mientras que en los Sistemas de Control Industrial se diseña una estrategia de defensa donde el TOP (Target of Protection) es, en este caso, el equipo en sí mismo.

En los Sistemas de Control Industrial la tolerancia a fallos es un parámetro vital de diseño. En los Sistemas de Información Corporativa, en general, se valora, pero puede no ser imprescindible en muchos casos y, desde luego, no siempre es un parámetro de diseño. Otro aspecto en el que se marcan distancias.

En la informática corporativa estamos acostumbrados a que la actualización de las aplicaciones a través de la distribución de parches sea frecuente y, en términos generales, sencilla. En la informática industrial las actualizaciones son complejas y requieren períodos de estudio y planes de contingencia y marcha atrás en el caso de que sea necesaria su aplicación. Esto, en sí mismo, al conectarse los equipos a Internet es un problema que se agrava si pensamos en el hecho que si bien el equipamiento que da servicio a los Sistemas de Información Corporativa se diseña con vidas útiles entre los 3 y los 5 años, el equipamiento que da servicio a los Sistemas de Control Industrial se diseñan para una vida útil entre 15 y 20 años, lo que hace más necesaria, si cabe, su actualización.

Para terminar, creo que es importante analizar el hecho de que hasta hace algunos años los Sistemas de Control Industrial estaban completamente aislados del mundo y no solo porque no estuviesen conectados al ciberespacio sino también porque utilizaban protocolos propietarios. Esta es otra gran diferencia en su origen y concepción. Los Sistemas de Información Corporativos manejan protocolos estándares desde hace mucho tiempo para lo bueno y para lo malo. Los Sistemas de Control Industrial se encuentran actualmente en un punto intermedio. Existen protocolos estándares conviviendo con soluciones propietarias pero conectadas cada vez más al ciberespacio. A este respecto he de decir que la seguridad por oscuridad no es una buena estrategia y que lo que debemos conseguir como sociedad es manejar estándares seguros, no desconocidos.

Aunque las diferencias entre ambos tipos de sistemas son muchas más, hemos contemplado las que en mi opinión resultan más relevantes. El análisis pausado de estas diferencias entre ambos tipos de sistemas nos ha llevado, de hecho, a contemplar la necesidad de crear un Centro de Seguridad con características específicas para abordar la Ciberseguridad de los Sistemas de Control Industrial: el iSOC (Industrial Security Operation Center), manteniendo el tradicional SOC (Security Operation Center) como Centro de Operaciones de Seguridad para Sistemas de Información Corporativa y contemplando, en cada caso, las características principales de los sistemas a los que se orienta.

Un regalo envenenado

Llegan las Navidades y, a pesar de las crisis, las direcciones generales de las compañías sienten la necesidad de demostrar que su espíritu navideño sigue intacto. Son sólo algunas, pero se dan casos en los que las direcciones generales de las empresas deciden, por ejemplo, regalar a sus empleados algún utensilio tecnológico que ven como una verdadera virguería. En verdad lo son, aunque muchas veces el CIO, el director TIC, los vea como pequeños monstruos salidos del averno. Puede ser, por ejemplo, una magnífica llave USB, por supuesto no cifrada cuando en muchos casos la política de la compañía prohíbe su uso o lo desaconseja. Puede ser el último grito en cámaras web o puede ser también, a lo peor, lo último en smartphones para lo más laureado de su equipo directivo o incluso un Tablet.

La aparente magnífica noticia empieza a transformarse en amenaza cuando llegan las primeras peticiones a manos del CIO: “necesito que me instalen el acceso al correo en mi Tablet”, dice el Director de RRHH, “me gustaría poder trabajar desde el Tablet cuando estoy fuera de la oficina”, solicita el Director de Responsabilidad Corporativa, “quiero acceder a las aplicaciones corporativas desde mi Tablet”, exige el Director Financiero, etc.

[Read more…]

Ciberseguridad. El Parlamento Europeo está preocupado.

Cualquiera que lea detenidamente el informe A7-0167/2012 del 16/5/2012 sobre la protección de infraestructuras críticas de información de la Comisión Europea se dará cuenta de que los autores del informe, los miembros de la Comisión de Industria, Investigación y Energía, están muy preocupados. Podemos también en el mismo informe analizar la opinión de la Comisión de libertades civiles, justicia y asuntos de interior de la UE y darnos cuenta —y no hace falta leer entre líneas— que no solo los que directamente tienen autoridad en la materia están preocupados, sino que también, comisiones que podríamos decir que aparentemente no están afectadas directamente por temas relativos a la ciberseguridad de Infraestructuras Críticas, muestran formalmente su preocupación.

Si además tienen ustedes la paciencia de estudiar el reciente informe sobre ciberseguridad y ciberdefensa 2012/2096 (INI) de la Comisión de Asuntos Exteriores con fecha 17 de octubre de 2012, se darán cuenta de que la preocupación hay veces que parece se torna en “miedo” instando a todo el mundo a que pongan manos a la obra enumerando un sinfín de razones por las que debemos hacerlo (los “considerandos” impresionan…)

El panorama es desolador pues los “considerandos” recogen un montón de aspectos que deberían estar funcionando y aunque incluso estén ya creados no están operativos por distintos motivos todos ellos lógicos. El hecho cierto es que todo lo que tiene que ver con las ciberamenazas avanza muy rápido, demasiado rápido, y las instituciones europeas muy lentas, demasiado lentas, así que como sociedad civil deberíamos estar preparados para tomar el control de la situación pero, desgraciadamente, este es uno de esos casos en los que me da la impresión de que el regulador va por delante de la sociedad civil porque la sociedad no es consciente de la magnitud de la amenaza.

Este informe sobre ciberseguridad y ciberdefensa afirma textualemente: “que el peligro que suponen las amenazas y los ataques cibernéticos contra órganos gubernamentales, administrativos, militares e internacionales crece rápidamente, que estos se producen tanto en la UE como en el mundo, y que hay importantes motivos de preocupación de que actores estatales y no estatales, especialmente organizaciones terroristas y criminales, puedan atacar estructuras e infraestructuras críticas de información y comunicación de instituciones y miembros de la UE, con la posibilidad de provocar importantes daños, incluidos efectos cinéticos”, considerando además que la mayoría de incidentes cibernéticos, tal y como se afirma en el informe, tanto en el sector público como privado quedan sin denunciar e instando a las autoridades competentes a valorar la posibilidad de que algún estado miembro pueda sufrir un ciberataque y hablando de la posibilidad de aplicación de la cláusula de defensa mutua (artículo 42, apartado 7 del TUE) sin perjuicio del principio de proporcionalidad. En este sentido, ¿se podría considerar un ciberataque respaldado por un Estado casus belli (1)?

Dejamos la pregunta abierta pero en el caso en el que la respuesta a la pregunta anterior sea que sí, no deja de ser preocupante otra de las afirmaciones que se pueden leer en el citado informe: Se “constata que ciberataques recientes contra redes de información europeas y los sistemas de información estatales han causado cuantiosos daños desde los puntos de vista económicos y de la seguridad cuyo alcance no se ha evaluado adecuadamente

Es evidente que la ciberdefensa debe formar parte de la política común de seguridad y defensa (PCSD) con el fin, entre otros, de proteger y preservar la vida de las personas, las libertades digitales y el respeto a los derechos humanos on-line. A pesar de ello en junio de 2012 solo 10 estados miembros han adoptado una estrategia de ciberseguridad, el primer paso para ponerse manos a la obra. En España está en desarrollo.

En cualquier caso ambos informes urgen, en términos generales, a elaborar estrategias de ciberseguridad y planes de emergencia para sus propios sistemas pidiendo, explícitamente, a todas las instituciones y organismos que se contemple en los análisis de riesgos los derivados de crisis cibernéticas incidiendo mucho por todas partes y a todos los niveles en los temas relativos a la concienciación. Se insta a hacer de la I+D+i uno de los pilares centrales de la ciberseguridad y ciberdefensa pidiendo a los estados miembros que cumplan su compromiso de aumentar su inversión (2) en I+D+i en defensa hasta el 2% prestando especial atención a la ciberseguridad y la ciberdefensa.

Todo esto está muy bien pero no dejan de ser más que peticiones que las comisiones de la UE lanzan al Parlamento Europeo a través de sus informes o proyectos de informes pero… ¿qué pasa mientras tanto en el mundo real?, ¿estamos de verdad haciendo nuestros deberes en esta materia?, ¿somos conscientes como sociedad del peligro que corremos?, ¿son los políticos que dirigen nuestro país conocedores de estos riesgos?, ¿hasta qué punto?

Yo tengo mi opinión. Lo vemos en el trabajo que desarrollamos día a día. Tendremos que hacer un esfuerzo ímprobo para concienciar a la sociedad en su conjunto porque este es un problema de todos…


(1) Casus belli hace referencia a la circunstancia que supone causa o pretexto para iniciar una acción bélica. El surgimiento del término se da en el contexto del Derecho internacional de finales del siglo XIX, como consecuencia de la doctrina política del ius in bello.El casus belli, como parte del ius in bello o “Derecho de guerra”, busca regular las acciones bélicas de los distintos países, de manera que a priori prohíbe el recurso a la fuerza armada para resolver conflictos, pero permite el uso del aparato militar contra otro Estado bajo el principio de ultima ratio, es decir como último recurso.

(2) En 2010 solo un Estado miembro había alcanzado el 2% del gasto en investigación y desarrollo en materia de defensa, y en ese año cinco Estados miembros no habían gastado nada en I+D en este capítulo

La política de ciberseguridad de nuestros hogares digitales

Suena formal, como algo propio de una empresa, de gente uniformada que tiene que rendir cuentas a un Consejo de Administración, pero no, esta vez no. Esta vez nos referimos a la instalación informática o tecnológica que vamos teniendo en muchas de nuestras casas. Vamos avanzando. En España, y en general en toda Europa, el grado de penetración de las TIC es muy alto, en Colombia está avanzando muchísimo, igual que en México o en Panamá e incluso también en otros países como Chile, Ecuador o Perú.

Cada vez tenemos en casa instalaciones más sofisticadas, con decenas de dispositivos IP (televisiones, videoconsolas, ordenadores, routers, tabletas, smartphones, etc.) que nos quitan mucho tiempo, que protegen los activos de nuestros hogares, que protegen nuestra información, nuestra vida. Sí, el tuenti de mis hijas, el Facebook de mi mujer, mis cuentas de los bancos, las fotos hechas con mi magnífica reflex en formato digital que ahora, al no tener que verlas nadie al revelarlas, pueden tener contenido de todo tipo, la lista de amiguitas de mi hija incluso con fotos geoposicionadas, el acceso a esa camarita IP de juguete que me he puesto para vigilar mi casa cuando no estoy y una larga lista adicional de “activos” en toda regla que para nosotros y nuestras familias son información confidencial personal e incluso infraestructuras críticas familiares…

Si vamos más allá, en unos años veremos aparecer vídeo porteros con funciones avanzadas que integran funciones domóticas del hogar y que pueden, por ejemplo, apagar o encender las luces en remoto e incluso abrir la puerta de entrada cuando llaman al timbre sin que estemos físicamente en casa.

Ante esto, la verdad es que poca ayuda tenemos los cabeza de familia a la hora de proteger nuestros hogares contra miradas de curiosos, malhechores o malvados en general.

Encontramos recomendaciones parciales: ponte un antivirus y mantenlo actualizado, no te pongas programas piratas, cuidado con los emules, Ares y demás, que si pon WAP en tu WIFI ¿wa qué? Esto en general puede llegar a convertirse en un infierno para el común de los mortales. Me cuesta a mí y llevo años en el sector…

En fin, una situación a todas luces preocupante que no solo afecta a las instalaciones caseras sino que llega también, de forma directa o indirecta, a poner en riesgo las redes corporativas porque, hoy por hoy, es muy difícil, por no decir imposible, separar en los entornos tecnológicos de trabajo entre lo profesional y lo personal. Por tanto, las amenazas tecnológicas del entorno doméstico pueden convertirse en amenazas a la seguridad del entorno profesional así que, pongámonos las pilas y consigamos una sociedad digital segura, porque de lo contrario me temo que incluso con toda la tecnología del mundo protegiendo nuestras redes corporativas, lo vamos a tener muy complicado.

Volvemos a lo mismo una y otra vez. Una de las inversiones más eficaces en materia de ciberseguridad es la formación y concienciación, pero la de verdad, la práctica. No es lo único que debemos hacer pero, a estas alturas, si que creo que debería ser de lo primero que nos debemos plantear porque la gente no tiene una percepción clara de riesgo. Sí lo tiene con el riesgo físico y contrata servicios de compañías de seguridad por cuotas mensuales, pero no tiene la misma percepción de riesgo en los asuntos virtuales.

No tengo ni la menor idea de si algún día los que nos dedicamos a esto podremos concienciar a nuestros congéneres del riesgo que corren en materia digital o podremos conformar una oferta suficientemente atractiva que les permita contratar estos servicios a Centros de Seguridad Digital.

La verdad es que no lo sé, pero mientras tanto, desde nuestro conocimiento, nos vemos en la obligación de proponerles que se apliquen ustedes una Política de Ciberseguridad Básica para Hogares Digitales que intentaremos desarrollar en el siguiente decálogo y de forma progresiva a lo largo del tiempo y hacerla lo más sencilla posible. Tengan ustedes en cuenta que aplicar estas reglas no garantiza absolutamente nada, simplemente mitiga parcialmente el riesgo, reduciendo directamente la probabilidad de sufrir un incidente.

Si necesitan ayuda profesional pueden ponerse en contacto con centros especializados de servicios privados de seguridad digital o en centros públicos de respuesta ante incidentes como CERTS o CSIRTS. Por ejemplo el CERT de INTECO o el CSIRT de la Comunidad Valenciana.

Aquí empezamos con algunas de esas normas básicas de la Política de Ciberseguridad para los Hogares Digitales

  • Cambiar siempre la contraseña del router. Nunca dejar ni contraseña ni usuario por defecto. Los “malvados” se las saben todas.
  • Las contraseñas no se comparten. Cada miembro de la unidad familiar debe tener su propio usuario y sus contraseñas con los privilegios apropiados para cada persona por conocimiento y edad.
  • Las contraseñas deben ser “contraseñas”. Patata es un tubérculo. JM las iniciales de mi nombre. “S2 Grupo” la empresa en la que trabajo. Ninguna de ellas son contraseñas.
  • La contraseña de administrador de los equipos compartidos de la red familiar los debe conocer la madre, el padre o los cabeza de familia pero no todos y no debe ser conocida por nadie más.
  • Todos los equipos tiene que tener antivirus actualizados. Los hay gratuitos para uso personal que son magníficos, como por ejemplo AVG.
  • Todos los equipos deben estar actualizados. Las actualizaciones no son una tarea molesta que tarda mucho. Son actividades de los fabricantes de Software absolutamente necesarias para nuestra seguridad.
  • A ser posible se debe proteger con la MAC el acceso a la red wifi de casa. No es nada complicado. Forma parte de los conocimientos mínimos que tenemos que incorporar para gestionar la seguridad de nuestro hogar.
  • La contraseña de la wifi no tiene nada que ver con mis contraseñas habituales, sobre todo si voy a dejar a amigos o amigas que hagan uso de ella.
  • A mis amigos o amigas no les doy la contraseña de mi ordenandor. Si necesitan acceder a él pongo yo la contraseña para que lo haga sin que lo vea. Lo mismo para el correo electrónico, redes sociales, etc.
  • Cuando se borra un fichero con la tecla suprimir realmente no se está borrando el fichero. Se puede recuperar. Si es necesario que un fichero desaparezca de verdad de un dispositivo de almacenamiento debe utilizarse una herramienta de borrado seguro (eraser por ejemplo)
  • Si tengo que acceder al trabajo desde los ordenadores de casa tengo que preguntar SIEMPRE al departamento de informática como debo hacerlo para que sea seguro.
  • La instalación en casa de programas P2P como pueden ser emule, Ares, torrent o similar comporta muchos riesgos para la seguridad doméstica. Tengamos mucho cuidado con este tipo de instalaciones.
  • Piratear elementos que se conectan a la red para jugar online o para descargarse programas de todo tipo introduce un riesgo muy elevado. No rompamos las protecciones de este tipo de equipos y por encima de todo no dejemos a nuestros hijos navegando con dispositivos pirateados.
  • No desconectemos el firewall de Windows porque resulta molesto. Intentad averiguar la razón por la que impide que algún programa pueda funcionar. Hay siempre formas de mantener el firewall trabajando y que los distintos programas funcionen correctamente.
  • Y sobre todo: apliquemos mucho sentido común. La mayoría de los riesgos de la Red pueden combatirse con una buena dosis de sentido común y un poquito de desconfianza.

Seguro que muchos de ustedes tiene recomendaciones de este tipo con las que podríamos extender la lista anterior. Ayúdennos a hacer esta lista más útil a través de sus comentarios. Nosotros nos comprometemos a analizarlas y a incorporarlas a ese catálogo conjunto y universal de medidas de seguridad para nuestras casas y para nuestras familias y a publicarlo tanto en HijosDigitales como en SecurityArtWork para que todos podamos usarlo. Deben ser recomendaciones sencillas que puedan aplicar personas que no son técnicas y que necesitan implantar ciertas normas en su hogar. Pueden ser simplemente recursos en la red o pequeñas aplicaciones que nos puedan ser útiles.

NOTA. Este es un post que publicamos conjuntamente en HD (hijosdigitales.es) y SAW (SecurityArtWork.es). En el primero porque tenemos muchos lectores, padres de familia, que están preocupados por la seguridad de sus hijos y de sus hogares en general. En el segundo porque creo firmemente en que para elevar la seguridad de nuestras corporaciones y empresas de todo tipo y color no nos queda otro remedio que apostar por la formación y concienciación en materia de seguridad de las personas que forman parte de ellas y de sus entornos tecnológicos habituales, incluyendo por supuesto sus hogares. Pongámonos por tanto manos a la obra. Trabajemos por una Sociedad Digital segura para nuestras empresas, nuestras casas y para nuestras familias.


La Asociación Profesional de Peritos Informáticos (ASPEI, www.aspei.es), asociación sin ánimo de lucro cuya actividad se organiza en proyectos de I+D relacionados con la prueba electrónica, el peritaje informático y la informática forense, organizar un Curso de Peritaje Informático e Introducción a la Informática Forense que tendrá lugar el próximo 14 de diciembre (17h – 21h) y 15 de diciembre (9h – 19h) en Madrid.

Los objetivos del curso es ofrecer los conocimientos mínimos, técnicos, legales y de procedimiento, requeridos para ejercer la profesión de perito informático. Está orientado a informáticos, pero hemos agrupado los temas más generales en el primer día para perfiles como abogados, investigadores privados o similares, que no estén interesados en los aspectos más detallados del segundo día.

Pueden obtener los detalles del programa y el curso a través de este enlace. Plazas limitadas.

Ciberincidentes. ¿Por qué hacemos oídos sordos a palabras que NO son necias?

Desde este foro llevamos mucho tiempo hablando de las amenazas que se ciernen sobre distintos tipos de infraestructuras en nuestro país (véase por ejemplo los informes sobre infraestructuras críticas de nuestro sitio web o los numerosos posts que en nuestro blog se refieren a este asunto) y aún nos encontramos con responsables de la gestión de esas infraestructuras que ponen “cara de póker” cuando les cuentas alguna “batallita”, según ellos, sobre las posibilidades de sufrir un incidente digital o un ciberincidente. La verdad es que, aunque se lo cuentas basándote en hechos reales acaecidos hace semanas o meses en distintos lugares del planeta, siempre encuentras esa mirada escéptica del que se ha leído la trilogía de Millenium, del fallecido Stieg Larsson, protagonizada por Lisbeth Salander, y te mira pensando que este tío se está quedando conmigo. Por una parte es cierto que esta actividad es una buena parte de nuestro negocio y que, precisamente por ello, en mi modesta opinión, sabemos mucho en nuestra empresa de Explotación y Seguridad de procesos de misión crítica, pero esto no justificaría en ningún caso que nos dedicásemos a hacer apología de los ciberincidentes. También es cierto, por otra parte, que, como ciudadano, tengo derecho a veces a estar un poco indignado por la falta de profesionalidad que, en este sentido, pueden tener ciertas personas que, evidentemente, siempre por desconocimiento o incredulidad y nunca por mala fe, ponen en riesgo la “felicidad”, o la tranquilidad, e incluso la vida, de muchos ciudadanos.

Uso mucho un ejemplo para escenificar el nivel de la amenaza del que estamos hablando. Intento no poner un ejemplo sobre una infraestructura crítica, ya que las consecuencias en estos casos son evidentes y parece que estés jugando con la alarma, que el simple nombre de una central nuclear o una central eléctrica, crea en los lectores. Me voy a algo mucho más cotidiano, por tanto mucho más probable y con un riesgo también considerable. Imagínense ustedes una gran actuación en alguno de los palacios de la ópera que hay distribuidos por España, e imagínense ustedes una actuación magistral en su punto culminante de una opera famosa. Un palacio lleno, con muchas autoridades y sus equipos de seguridad. Evidentemente las instalaciones son impecables (no cabe pensar otra cosa en nuestro país) y por tanto disponen de los sistemas de control más sofisticados y modernos que existen hasta tal punto que el SCADA (Sistema de control industrial) de turno se puede manejar desde cualquier punto de la red interna o externa y por tanto permite su operación al responsable de mantenimiento, para que todo vaya como la seda, incluso desde su casa. El sistema es accesible para el responsable de mantenimiento, pero también, si la seguridad del sistema no se cuida y vigila convenientemente, para otro tipo de personas que, con los conocimientos adecuados, pueden acceder al mismo. Pregúntese qué pasaría si simplemente ese ”fulano” con malas intenciones disparase el sistema de extinción de incendios porque hay un supuesto fuego que en realidad ni existe. Luces apagadas. Caos. Personas corriendo en todas direcciones. Los equipos de seguridad de las autoridades queriendo sacar a sus protegidos. Carreras. ¿Heridos? ¿Muertos? Familiares. Indignación. ¡¡No hubo incendio!!, pero si un follón espectacular y quién sabe si algo más.

¿Por qué no conseguimos que los responsables de las infraestructuras sean conscientes de los peligros reales que estamos corriendo? Las personas que trabajamos en el mundo de la tecnología creo que sí que estamos concienciados, aunque muchas veces tampoco podemos o queremos tomar cartas en el asunto seriamente, pero ¿que pasa con otros colectivos profesionales: ingenieros industriales (como yo), de caminos, aeroespaciales, arquitectos, navales, etc. que tienen entre sus responsabilidades la gestión de “infraestructuras importantes” como las del ejemplo y a veces incluso de infraestructuras críticas?

Les invito a que lean el artículo que el Presidente de los Estados Unidos, Barack Obama, escribió el 20 de julio en el Wall Street Journal, “Taking the Cyberattack Threat Seriously” en el que hizo una reflexión sobre la posibilidad real de recibir ciberataques de grandes dimensiones en los EEUU y en el que se refirió públicamente y personalmente a las simulaciones de ataques que se estaban realizando y a los ciberataques, sin consecuencias importantes, que había recibido su País recientemente con una intrusión en la red de empresas que operan los gaseoductos o la publicación de fotos de los controles internos de una planta de agua. No es una novela, ni el protagonista es un ser de ficción como el caso de Listbeth Salander. Es la vida real, son incidentes reales en los que se habla sin tapujos sobre posibilidades que pueden incluso superar la imaginación de Steig Larsson.

¿Qué podemos hacer nosotros para que este grupo de profesionales, con tan alta responsabilidad, tome conciencia de la magnitud de este asunto? ¿Por qué, a pesar de que se publican leyes como la Ley de Infraestructuras Críticas basadas en directivas europeas, hay organizaciones o personas que no le prestan la importancia que se merecen?¿Tendremos que esperar a sufrir un episodio de estas características para que la sociedad se lo tome en serio?

Espero que no.

Ciberguerra. Lo siento pero se me ponen los pelos de punta cuando leo algo de “Flame”.

Si lo hace, o no, no tengo ni la menor idea. Si lo ha hecho, o no, tampoco. De lo que estoy absolutamente convencido es que técnicamente es perfectamente posible que Flame [Symantec, W32.Flamer] haga lo que los periodistas dicen que ya hace.

El otro día en una Jornada Internacional del ISMS Fórum, que como siempre estuvo francamente bien, dos de los ponentes de una mesa redonda, no se por qué extraña razón, defendieron muy convencidos la idea de que hablar de ciberguerra y de la ciberdefensa era poco menos que un acto de irresponsabilidad por usar términos, que en su opinión, eran muy exagerados. Defendían el concepto de “ciberseguridad” en términos generales, pero se oponían al uso del término de ciberguerra.

La verdad es que no lo entendí. Estuve a punto de pedir una explicación al respecto pero, por no crear una polémica que se podía malinterpretar, no lo hice. No me explico cómo sugieren que llamemos a lo que se está preparando por parte de distintos gobiernos del mundo. No son ni uno, ni dos, los “hechos” probados de actividades hostiles contra gobiernos por parte de otros gobiernos.

Es cierto que el concepto es un término que desde un punto de vista periodístico tiene “tirón” y por tanto, puedo estar de acuerdo en que se debe utilizar con cuidado y en su justa medida, pero también es cierto que estamos asistiendo a una etapa de un desarrollo tecnológico de tales características que lo que hasta hace apenas unos años era simplemente un argumento de una película de ciencia ficción hoy es el argumento de la película de la vida real.

Es un hecho que los países están desarrollando sus estrategias de ciberdefensa y por tanto, de ciberataques, siguiendo la máxima de que no hay mejor defensa que un buen ataque. Si esto es así, es evidente que se está preparando un nuevo campo de batalla en el ciberespacio en el que los “ciberejércitos” están haciendo sus particulares “ciberejercicios” militares. Llamémoslo como queramos pero, por favor, no neguemos lo que es una evidencia.

La ciberguerra es un hecho y alrededor de este término debemos trasladar todos los términos de un mundo físico al mundo digital. Ciberarmas, como Stuxnet, Duqu o Flame, ciberespionaje, ciberataque, ciberdefensa, ciberincursión, y un largo etcétera. Tal vez uno de los términos que no quedan nada claros y por los que creo se librará, o se está librando, una batalla silenciosa, es el concepto de ciberfrontera, aunque en un mundo global y el digital lo es sin lugar a dudas, las fronteras dejan de tener un sentido claro.

¿Qué opinan ustedes? ¿Es una irresponsabilidad emplear el término ciberguerra para referirnos a las actividades que, aparentemente, algunos ejércitos están desarrollando en este nuevo campo de batalla?

MaaS: Monitoring as a Service

En la era que vivimos, en la que el “All as a Service”, A3S, está en la portada de todas las publicaciones tecnológicas en compañía de conceptos como cloud, virtualización y seguridad, sorprende que aún sigan pasando cosas como las que hace algunos días se relataba en la noticia a la que nos referimos: “Un fallo eléctrico provoca la muerte de 11.000 pollos en una granja de Arévalo”.

Ya hace algún tiempo escribimos en este blog un post referente a una noticia similar sobre la disponibilidad de algunos servicios críticos (en este caso para la granja de pollos) y la importancia que éstos tienen para algunos individuos, en el que además apoyábamos la tesis de que disponibilidad es seguridad sin duda alguna, y si no que se lo pregunten a los difuntos pollos.

Partimos de la base de que la definición de “servicio crítico” e “infraestructura crítica” es siempre relativa. Para el dueño de la granja de “pollos”, que posiblemente tenga sus ahorros invertidos en la cría y cuidado de estos 11.000 pollos, el servicio de ventilación, y por tanto el suministro eléctrico, es un servicio crítico, al igual que “SU” granja es para él una “Infraestructura Crítica”. Si esto es así, ¿por qué en la era del “todo como un servicio” este buen señor o buena señora de Arévalo no dispone de un pequeño y barato servicio de monitorización en tiempo real de su suministro eléctrico y de la temperatura de su granja de pollos? ¿Estamos los profesionales del sector ofreciendo soluciones de seguridad acordes a las necesidades de nuestra sociedad? ¿Están nuestros centros de servicios de seguridad preparados para ofertar este tipo de servicios a la sociedad y proteger así los servicios críticos de las infraestructuras críticas de nuestros clientes? ¿Por qué los modernos centros de servicios de seguridad del S.XXI se circunscriben únicamente a la, sin duda importante, tarea de parar ataques cibernéticos desde otro continente? En mi opinión, los centros de servicios de seguridad deben, haciendo uso de la tecnología que tienen a su alcance, dar respuestas a los problemas de “inseguridad” de la sociedad en la que vivimos y desde luego la falta de disponibilidad de algunos servicios es un problema de “inseguridad”.

Desde este blog, y por tanto desde nuestro centro de servicios, argópolis®, apostamos por uno de esos nuevos conceptos de la era del A3S, del “all as a service”. Lo que podemos conocer con el término “Monitoring as a Service” (MaaS). Este tipo de servicio pretende popularizar los servicios de monitorización de infraestructuras críticas, no solo para las naciones, con su más que claro concepto de “Infraestructura Crítica” (Ley 8/2011 para la Protección de Infraestructuras Críticas), sino también para el “dueño de los pollos” que, bromas aparte, ha sufrido una pérdida en su negocio que podría haberse evitado con un servicio de monitorización en remoto de un coste extraordinariamente bajo prestado desde centros de servicios con infraestructura para hacerlo.

El artículo en cuestión hacía referencia a una pérdida directa por la muerte de los pollos de 21.000 euros. Otras fuentes elevaban la pérdida hasta los 40.000 euros si se tiene en cuenta el pienso ya comprometido para estos pollos y algunos asuntos adicionales relativos a los acuerdos de distribución de los mismos. Sea cual fuere la cifra, bien merecía la pena contratar un sencillo servicio de monitorización permanente de la temperatura de la granja de pollos, ¿no creen ustedes?