En anteriores entregas hemos repasado algunos aspectos específicos de la protección de los sistemas de control industrial desde el punto de vista de la ciberseguridad, incluyendo los aspectos culturales y humanos (Seguridad en entornos industriales: el primer paso, Seguridad en entornos industriales: aspectos específicos). Teniendo como premisa de que el planteamiento en este ámbito debe ser global hoy vamos a hablar de la forma en que se ejecutan gran parte de las obras públicas en España (muchas de las cuales serán, probablemente, infraestructuras críticas): se trata del proceso de construcción en tres fases, proyecto, obra y explotación.

En demasiadas ocasiones estas fases constituyen compartimentos estancos con escaso flujo de información. Durante la construcción intervienen la consultora de ingeniería redactora del proyecto, la empresa contratista y sus subcontratas y proveedores, la Administración adjudicataria a través de sus directores de contrato y obra y sus asistencias técnicas. En la gran mayoría de los casos los máximos responsables de las obras son personas con gran formación y experiencia en el ámbito de la obra civil, pero con muy poca en cuestiones industriales y de sistemas de control. Por tanto, las empresas subcontratistas y proveedores poseen en este ámbito una autonomía mucho mayor de la que sería deseable y es posible que decisiones como la arquitectura, conexión a Internet de un sistema de control, contraseñas, configuración de perfiles, etc. se tomen por personas que ni tienen la visión global necesaria ni la conciencia de la importancia de las mismas (hemos visto como se utiliza la posibilidad de conexión a Internet de un sistema de control, totalmente innecesaria por otra parte, como argumento de venta).

[Read more…]

Hace unos días introdujimos un concepto esencial en la seguridad en entornos industriales: la importancia de los aspectos humanos, organizativos y culturales. Como vimos, se trata de un primer paso esencial para garantizar el éxito de una estrategia integral de seguridad.

Hoy vamos a continuar nuestro viaje hacia los sistemas industriales introduciendo algunas características de los mismos que imposibilitan la aplicación directa de las técnicas propias del entorno TIC y cuya comprensión es imprescindible antes de abordar su protección.

La duración del ciclo de vida del equipamiento

La velocidad de la evolución tecnológica en las TIC es vertiginosa. Los equipos quedan obsoletos en un plazo que se mide en unos pocos años (a lo sumo). Ello permite que las innovaciones en cuestiones de seguridad puedan implantarse en un plazo breve, tan pronto como el equipamiento es reemplazado por otro de nueva generación. Por el contrario, el ciclo de vida de la maquinaria industrial y sus sistemas de control se mide incluso en décadas (sí, habéis leído bien). Por tanto hay que enfrentarse a un parque de sistemas heredados diseñados y construidos de espaldas a los requerimientos de seguridad actuales y que van a seguir en funcionamiento durante mucho tiempo.

[Read more…]

Uno de los puntos de interés en los últimos tiempos en cuestiones de seguridad está en la protección de infraestructuras críticas y, más generalmente, en la seguridad en entornos industriales.

Es evidente que hay un largo camino que recorrer en cuestiones tecnológicas. Los especialistas en la materia rápidamente aplican su experiencia y descubren que nociones básicas en entornos TIC como el cifrado, el despliegue de herramientas como IDS, el desarrollo de arquitecturas seguras, etc. son prácticamente inexistentes en el ámbito industrial. El hecho de encontrar un territorio prácticamente virgen ante sus ojos puede hacer que el experto en seguridad se centre en estas carencias tecnológicas tan visibles descuidando, sin embargo, otros aspectos menos obvios, quizá, pero igualmente importantes.

Como en tantos ámbitos de la vida hemos de acometer primero lo primero. Y es que hasta que existan soluciones técnicas para las carencias mencionadas, soluciones que tengan en cuenta las características propias de las industrias y sus procesos, hay otros problemas que resolver. En mi opinión, uno de los principales es el relativo a la gestión de las organizaciones, los equipos humanos y los choques culturales.

Hoy en día, en nuestro mundo de especialización creciente y compartimentación profesional es fácil perder la perspectiva y juzgar el todo por la parte. Y ello incluso dentro de una misma empresa, donde se supone que existe una comunidad de objetivos. De esta forma nos encontramos con que dos universos hasta ahora completamente separados, el de los ingenieros informáticos y el de los ingenieros industriales o de producción, han entrado en contacto. Me imagino que debe ser algo parecido a cuando los nativos americanos y el los europeos se tuvieron frente a frente por primera vez. Cada grupo ve al otro como si fuese un alienígena. Prácticamente no tienen nada en común, salvo el aspecto físico (y quizá ni eso): sin experiencias comunes y, lo que es más importante, separados hasta por el lenguaje, mutuamente ininteligible. Llegados a este punto he de realizar una confesión: yo soy ingeniero industrial y he desarrollado gran parte de mi labor profesional en el ámbito de los sistemas industriales. Yo he pasado por la experiencia descrita y supongo que muchos de mis compañeros también (estaría bien que los lectores se manifestasen al respecto: ¿han entrado alguna vez en contacto con un ente proveniente del más allá?)

[Read more…]

Si lo hace, o no, no tengo ni la menor idea. Si lo ha hecho, o no, tampoco. De lo que estoy absolutamente convencido es que técnicamente es perfectamente posible que Flame [Symantec, W32.Flamer] haga lo que los periodistas dicen que ya hace.

El otro día en una Jornada Internacional del ISMS Fórum, que como siempre estuvo francamente bien, dos de los ponentes de una mesa redonda, no se por qué extraña razón, defendieron muy convencidos la idea de que hablar de ciberguerra y de la ciberdefensa era poco menos que un acto de irresponsabilidad por usar términos, que en su opinión, eran muy exagerados. Defendían el concepto de “ciberseguridad” en términos generales, pero se oponían al uso del término de ciberguerra.

La verdad es que no lo entendí. Estuve a punto de pedir una explicación al respecto pero, por no crear una polémica que se podía malinterpretar, no lo hice. No me explico cómo sugieren que llamemos a lo que se está preparando por parte de distintos gobiernos del mundo. No son ni uno, ni dos, los “hechos” probados de actividades hostiles contra gobiernos por parte de otros gobiernos.

Es cierto que el concepto es un término que desde un punto de vista periodístico tiene “tirón” y por tanto, puedo estar de acuerdo en que se debe utilizar con cuidado y en su justa medida, pero también es cierto que estamos asistiendo a una etapa de un desarrollo tecnológico de tales características que lo que hasta hace apenas unos años era simplemente un argumento de una película de ciencia ficción hoy es el argumento de la película de la vida real.

Es un hecho que los países están desarrollando sus estrategias de ciberdefensa y por tanto, de ciberataques, siguiendo la máxima de que no hay mejor defensa que un buen ataque. Si esto es así, es evidente que se está preparando un nuevo campo de batalla en el ciberespacio en el que los “ciberejércitos” están haciendo sus particulares “ciberejercicios” militares. Llamémoslo como queramos pero, por favor, no neguemos lo que es una evidencia.

La ciberguerra es un hecho y alrededor de este término debemos trasladar todos los términos de un mundo físico al mundo digital. Ciberarmas, como Stuxnet, Duqu o Flame, ciberespionaje, ciberataque, ciberdefensa, ciberincursión, y un largo etcétera. Tal vez uno de los términos que no quedan nada claros y por los que creo se librará, o se está librando, una batalla silenciosa, es el concepto de ciberfrontera, aunque en un mundo global y el digital lo es sin lugar a dudas, las fronteras dejan de tener un sentido claro.

¿Qué opinan ustedes? ¿Es una irresponsabilidad emplear el término ciberguerra para referirnos a las actividades que, aparentemente, algunos ejércitos están desarrollando en este nuevo campo de batalla?

“Lo que fue, eso mismo será. Y lo que se hizo, eso mismo se hará. Y no hay nada nuevo bajo el sol.” Eclesiastés, 1:9.

La posibilidad de que ataques cibernéticos afecten al normal funcionamiento de infraestructuras claves para el sostenimiento de las sociedades modernas es una causa creciente de preocupación entre todos los agentes implicados. Prueba de ello son los recientes desarrollos normativos que están teniendo lugar y que en nuestro país se sustancian en la Ley de Protección de Infraestructuras Críticas y el Reglamento que la desarrolla.

Una de las características del temor que produce esta amenaza proviene del hecho de que no sigue una de las reglas establecidas de los enfrentamientos a que la sociedad está acostumbrada: identificar al enemigo. En efecto, hasta este momento los ataques contra una sociedad se producían en el contexto de una guerra o un ataque terrorista. El enemigo, por tanto, era conocido (incluso en el caso de ataques terroristas, ya que estas acciones buscan que la parte atacada sepa quién infringe el daño). Ahora, sin embargo, se toma conciencia de que elementos claves de una sociedad pueden ser atacados inadvertidamente y por un enemigo sin rostro, del cual, además, se desconocen sus motivaciones y por tanto no podemos prever su forma de actuar. Incluso se nos puede atacar de forma remota sin necesidad de encontrase físicamente entre nosotros.

Sin embargo, por muy novedoso que nos pueda resultar esto, en una fecha tan temprana como 1961, mucho antes de los ordenadores personales y las redes de comunicación, ya se previó que una eventualidad como ésta se podría producir. Hablamos de A por Andrómeda, una serie de televisión de la BBC que posteriormente se trasladó a novela, escrita por Fred Hoyle (físico especialista en cosmología) y John Elliot (productor de televisión).

[Read more…]

El Informe sobre la Protección de Infraestructuras Críticas en España 2011 elaborado por S2 Grupo y cuyos autores son Antonio Villalón, Nelo Belda, José Miguel Holguín y José Vila está disponible para su descarga.

Cualquier comentario o consulta sobre éste pueden realizarla enviando un correo electrónico a admin EN securityartwork.es, o a avillalon EN s2grupo.es.

Reproducimos a continuación la nota de prensa publicada el pasado 28 de noviembre.

[Read more…]

La semana pasada Justo Zambrana, Secretario de Estado de Seguridad, alertaba de la debilidad de las infraestructuras críticas en lo que a tecnologías de la información se refiere y hablaba del riesgo de ciberataques contra éstas; unos días más tarde, este mismo fin de semana, ha saltado a los medios ([1], [2], [3]…) el supuesto ataque telemático contra una planta de tratamiento de agua en Springfield (Illinois) -no, no es el Springfield en el que estais pensando…-. Unos piratas rusos -presuntamente- han conseguido romper la seguridad de los sistemas SCADA de la planta y quemar una bomba de agua; aunque no parece haber habido problemas de abastecimiento para la población, se trata del primer ciberataque contra una infraestructura crítica estadounidense según Joe Weiss, reconocido experto en la materia, y el problema no parece ser lo que los piratas hayan hecho, sino (a) lo que han podido hacer y (b) el tiempo que los responsables de la planta han tardado en detectar y reaccionar…

Sea o no cierto que el ataque se ha producido, sea o no cierto que se ha producido desde Rusia contra los Estados Unidos -en recuerdo de épocas pasadas-, sea o no cierto que no ha habido riesgo de desabastecimiento -o de algo peor- para la población, el caso es que esta noticia, este hecho, viene a poner de nuevo en el punto de mira -y ya van muchas veces- la seguridad de nuestras infraestructuras críticas no sólo desde el punto de vista tradicional sino también desde el punto de vista “cibernético”. A los componentes de seguridad “clásicos”, como la protección mediante personas frente a ataques físicos del enemigo, se han añadido estos años componentes de seguridad menos habituales, fruto de la convergencia de la seguridad de la que tanto se ha venido a hablar durante la primera década del siglo. Dicho de otra forma, si hace dos mil años la única manera de atacar una infraestructura crítica era mediante el uso de ejércitos a pie o caballo, o si hace cincuenta años la única forma de hacerlo era mediante ejércitos con tanques, barcos y aviación, hoy en día a estas tres armas se une un punto de vista adicional: el de la ciberguerra. O el del ciberterrorismo. O simplemente, el del cibervandalismo. Acciones clásicas con el prefijo “ciber”, que viene a decir que se desarrollan a través de redes de computadores. Sin un despliegue de miles de hombres y sin un nivel de riesgo considerable para el atacante, estas acciones pueden llegar a sustituir a –o al menos, convivir con- las anteriores, constituyendo un nuevo escenario de seguridad y defensa que preocupa a todos los estados del mundo: el de la ciberseguridad y ciberdefensa, en especial en lo relativo a protección de infraestructuras críticas.

Desde la segunda mitad de los años 90, y en especial durante esta primera década del siglo XXI, la posibilidad de “ciberataques” contra infraestructuras críticas cobra cada vez más fuerza, pasando de sencillas PoC a riesgos reales capaces de impactar de forma clara contra una infraestructura concreta. En el año 2000 un ex-empleado de una planta de aguas residuales australiana la ataca de forma inalámbrica; un buen ejemplo del “insider threat” como amenaza –de los primeros ciberataques en el ámbito civil- a una infraestructura crítica. Tres años más tarde, y como ejemplo adicional de problemas derivados de la conexión a Internet de sistemas que están diseñados para trabajar de forma aislada, el gusano Slammer provoca el apagado de la central nuclear de Davis-Besse. En la segunda mitad de la década las publicaciones que describen vulnerabilidades en entornos SCADA se comienzan a distribuir libremente en Internet, incluyendo (2007) el famoso vídeo “Aurora vulnerability” en el que se sabotea un generador… A partir de aquí la palabra “ciberataque” aparece con mucha frecuencia junto a “infraestructura crítica”: en enero de 2008 la CIA informa que un ciberataque ha causado la pérdida de electricidad en varias ciudades en una localización desconocida fuera de USA, en junio de 2010 salta a los medios generalistas el descubrimiento de Stuxnet… hasta septiembre de 2011, cuando el que ha saltado a los medios generalistas ha sido Duqu, ambos considerados malware muy avanzado capaz de poner en jaque –real, ya no hablamos de hipótesis o estudios teóricos- infraestructuras críticas y, por tanto, vidas humanas. Y ahora, en noviembre de 2011, el primer ciberataque -de nuevo, presunto- exitoso contra una infraestructura crítica estadounidense.

Un riesgo real, preocupante. ¿Y en España? ¿Estamos preparados? El 28 de mayo de 2004 –poco más de dos meses después de los fatídicos atentados del 11M- nace el Centro Nacional de Coordinación Antiterrorista (CNCA), un centro de coordinación y análisis –no operativo- que ejerce funciones de inteligencia, información y coordinación buscando el tratamiento integrado de la información estratégica relativa al terrorismo, tanto en su proyección nacional como internacional. El CNCA es equivalente al JTAC (Joint Terrorism Analysis Centre) británico o al NCTC (National Counter-Terrorism Centre) estadounidense, un órgano de recepción, proceso y valoración de la información estratégica disponible sobre todos los tipos de terrorismo que constituyen una amenaza para España; no tiene una focalización específica en la protección de infraestructuras críticas, sin consideración oficial y específica hasta 2007, cuando se diseña y desarrolla el Plan Nacional de PIC (PNPIC) y se crea el Centro Nacional para la Protección de Infraestructuras Críticas, CNPIC. En los últimos meses, ya en 2011, en España se ha creado legislación específica sobre la protección de infraestructuras críticas: en abril se publica la Ley 8/2011, en mayo el Real Decreto 704/2011 que desarrolla la anterior y, finalmente, el 24 de junio la Estrategia Española de Seguridad.

Vamos, que trabajar, se está trabajando, aunque seguro que queda mucho por hacer y eso nos llevará un tiempo. La protección de infraestructuras críticas es muy compleja: existen muchos agentes involucrados en dicha protección (desde los propios operadores hasta FFCCSE, pasando por el Gobierno de la Nación), y por tanto la coordinación y la comunicación entre ellos debe ser ágil y segura para garantizar la seguridad de estas infraestructuras. Además, el 80% de operadores de infraestructuras críticas pertenecen al sector privado, siendo muchos de ellos compañías multinacionales… ¿El Estado necesita intervenir a las empresas privadas? ¿Cómo se consigue el equilibrio? ¿Hace falta un marco sancionador? Adicionalmente, dentro de la complejidad a la que hacemos referencia, no únicamente nos encontramos ante sistemas en cuya protección se involucra a un gran número de actores sino que, además, nos encontramos que las infraestructuras críticas pueden ser independientes, pero más habitual es que sean dependientes o interdependientes. Esto implica que una infraestructura depende en buena parte de otra –nacional o europea- para su funcionamiento correcto, con lo que un fallo en cascada o un error en un punto único de fallo puede suponer un enorme problema; en especial, si a esta dependencia añadimos que en ocasiones no se conocen del todo bien las interdependencias entre infraestructuras… Para corregir esta situación, desde Europa se está subvencionando activamente a proyectos de I+D+i para modelizar y/o simular estas interdependencias; adicionalmente, los planes para la protección de infraestructuras críticas (en concreto, la confección de catálogos de IC) pueden y deben ayudar a identificar no sólo las infraestructuras, sino también su grado de redundancia y sus interdependencias.

Y desde el punto de vista técnico, volvemos otra vez a la seguridad en entornos de control industrial, sistemas que o bien se diseñaron para trabajar en entornos aislados, sin considerar amenazas provenientes de la otra punta del mundo, o bien están a cargo de equipos que no tienen la idea de la interconexión de sistemas en la cabeza. Cuestión de tiempo. Nos encontramos ahora en la misma situación que teníamos hace quince años con cualquier sistema operativo de propósito general: entornos no diseñados con la seguridad como premisa, abiertos por completo a Internet y accesibles a golpe de telnet, finger o ftp desde cualquier punto del mundo. Vamos, carne de cañón para un pirata, hasta que nos dimos cuenta de que eso no podía ser y se empezaron a bastionar máquinas, implantar cortafuegos y todo eso que hoy parece historia… imagino que algo similar sucederá con los sistemas de control industrial, pero aquí la cosa es más grave: de muchos de esos sistemas dependen infraestructuras críticas (insistimos: vidas humanas en la mayor parte de ocasiones). ¿En cuántos años seremos capaces de tenerlos correctamente protegidos? ¿Tendrá que pasar algo para que nos acabemos de concienciar? Esperemos que no…

Para acabar, aprovechamos esta entrada -y la noticia asociada- para comunicar que en breve publicaremos -entre otros medios, en este mismo blog– un informe que estamos elaborando sobre protección de infraestructuras críticas en España, en el que tratamos de analizar con perspectiva quiénes somos, de dónde venimos y a dónde vamos… lo dicho, en breve :)