Un dicho anónimo señala que la tranquilidad y el silencio son dos cosas que no tienen precio. Y es verdad. Nos acostumbramos a pulsar el interruptor de casa y que se encienda la luz, a abrir el grifo y que corra el agua potable, a mirar el móvil y navegar por Internet. Sabemos que si tenemos un accidente nos atenderán de maravilla en el hospital, o que si bajamos por la mañana a la estación nos espera el tren que nos llevará al trabajo. Pero no caemos en la cuenta de todo lo que hace falta para que las cosas funcionen.
Existen una serie de infraestructuras que hacen posible que la vida de todos nosotros transcurra con normalidad. En algunos casos se trata de infraestructuras esenciales, como una central eléctrica; y en otros, son infraestructuras críticas, como la central eléctrica que abastece a medio Madrid y que, en su radio de acción, tiene tres hospitales y los centros de control del tráfico (es un ejemplo ficticio).
Por definición, las infraestructuras críticas engloban «los sistemas y servicios que soportan infraestructuras esenciales para el desarrollo de la sociedad y que garantizan el normal funcionamiento de los servicios prestados por los estados». El Gobierno tiene listadas cuáles son estas infraestructuras críticas, a las que presta especial atención. Listado que, por supuesto, no es público para evitar tentaciones. Listado que, además, está vivo y sufre variaciones cada cierto tiempo.
En España, la ciberseguridad de estas infraestructuras se considera objetivo estratégico del Ministerio del Interior. No es en vano. Entre 2013 y 2017, fecha de consolidación del CSIRT, el centro había atendido más de 1.200 incidentes de ciberseguridad contra operadores críticos.
Hoy en día, el Gobierno de España atribuye a diversos organismos de carácter público las competencias en materia de ciberseguridad relativas al conocimiento, gestión y respuesta de incidentes de ciberseguridad acaecidos en las diversas redes de información y comunicación del país: el Centro Criptológico Nacional del Centro Nacional de Inteligencia, el Incibe-CERT, el Centro Nacional de Protección de Infraestructuras Críticas (CNPIC) y el Mando Conjunto del Ciberespacio (MCCE).
Motivaciones
Existen múltiples razones que motivan a un ciberdelincuente a buscar el éxito de un ataque a infraestructuras críticas. Desde el romántico interés original de quien busca notoriedad hasta motivaciones políticas y económicas que no precisan explicación. Por eso el número de ataques va a más.
Un ejemplo ocurrido en Estados Unidos este año: dos días antes de la celebración de la Super Bowl, uno de los eventos deportivos anuales más relevantes del mundo, un atacante cibernético comprometió un programa de acceso remoto en una planta de tratamiento de agua en Oldsmar, Florida. Se trató de un supuesto intento de condicionar el suministro de agua de la ciudad que, en ese momento, acaparaba las miradas de millones de personas.
Si seguimos en Estados Unidos, recordamos que se vio obligado a declarar en mayo el estado de emergencia tras un ciberataque a la mayor red de oleoductos del país. Un grupo de piratas informáticos, agrupados bajo el nombre de Darks Side, desconectó por completo y robó más de cien gigas de información del oleoducto Colonial, que transporta más de 2,5 millones de barriles por día. Es decir, el 45 por ciento del suministro de diésel, gasolina y combustible que consumen los aviones de la costa este.
El ciberataque se produjo porque los ciberdelincuentes encontraron el modo de infiltrarse en sus sistemas por el alto número de ingenieros que acceden de forma remota a las herramientas de control del oleoducto. Y lo hicieron en una época del año con temperaturas extremas. El ataque impedía a la población encender la calefacción.
Sin embargo, en esta ocasión, el propio grupo admitió, ¡en un comunicado de prensa!, que el ataque se había producido por error. «Somos apolíticos, no participamos de la geopolítica, no necesitamos atarnos a un gobierno definido y buscar otros motivos nuestros. Nuestro objetivo es ganar dinero y no crear problemas para la sociedad. A partir de hoy introducimos la moderación y comprobamos cada empresa que nuestros socios quieren cifrar para evitar consecuencias sociales en el futuro», señalaron.
Pero estos no son casos aislados.
Ciberataques en España a infraestructuras críticas
España no está libre de ataques, como ningún otro país. Si echamos la vista atrás, podemos acordarnos del ataque de ransomware que originó una denegación de servicio al SEPE. En este ataque, el sistema informático del Servicio Público de Empleo se vio afectado por un ransomware que cifró gran parte de información necesaria para que los servicios proporcionados por el SEPE funcionasen de forma adecuada. El ataque dejó inoperativo los sistemas durante cuatro días.
No podemos garantizar que el SEPE, en el mes de marzo, fuera una infraestructura crítica, al no ser público el listado de estas. Pero es posible, puesto que se trataba de unas fechas en las cuales la sociedad española vivía momentos de dificultad como consecuencia de los efectos en empleo de la COVID-19.
Recomendaciones
Viendo que los ataques van a más, ¿cómo podemos prevenirnos? Lo primero es invitar a los responsables de estas infraestructuras a tener un procedimiento de backups y de respuesta a incidentes, el cual libera de bastantes problemas. Es importante procedimentar las tareas a desarrollar ante un ataque y ejercitarlas en fase de testeo.
Después del ataque al Colonial Pipeline, en Estados Unidos, se han liberado documentos importantes (table docs) que explican cómo proceder ante un ataque y se proponen ejercicios para estar preparado. Es como el entrenamiento de un futbolista previo al partido importante.
La segunda recomendación pasa por separar físicamente las redes de los sistemas de protección física de los de proceso. No hablamos de crear islas, sino de diferenciar las capacidades que tienen los equipos que se encargan de la seguridad física de las personas y de los dispositivos que garantizan la seguridad lógica de los sistemas. También es importante mantener el control de las peticiones gracias a la inspección profunda de protocolos. Existen herramientas en el mercado que lo hacen posible.
Y, por último, aplicar el sentido común y no tratar de reinventar la rueda: utilizar los mecanismos de seguridad que ya existen y atender a las indicaciones establecidas desde el punto de vista regulatorio.