Los 'ciberpiratas' atacan el mundo real
Banca, telecos, eléctricas y transportes sufren ciberataques a diario. Los gestores de redes tendrán que informar al Gobierno de las intrusiones.
Es una imagen simulada, pero se han producido alteraciones reales del texto de los paneles. RAÚL LÓPEZ
Noticias relacionadas
Una mañana cualquiera, en una gran ciudad, todos los semáforos se vuelven repentinamente locos; están en verde y en rojo a la vez. Los paneles informativos muestran mensajes imposibles, ampliando el límite de circulación de velocidad hasta los 200 kilómetros por hora. Pero no se trata de un fallo técnico. El sistema ha sido atacado desde fuera. Aunque el ejemplo es una ficción, Estonia, Brasil, Rusia o EEUU ya han sufrido ataques a algún servicio básico. Peor aún, los expertos sostienen que las ciberamenazas no dejarán de crecer en el futuro, convirtiendo a las redes en el nuevo escenario de la eterna guerra entre los buenos y los malos.
Todos los sistemas básicos que sostienen la sociedad están conectados a una red. El abastecimiento de agua, la electricidad, el sistema financiero o los transportes serían ingobernables sin el concurso de las telecomunicaciones. Sólo Red Eléctrica Española (REE), el operador que gestiona el transporte eléctrico, recibe en su centralizado Sistema de Control de Energía (SCE) 330.000 mediciones cada cuatro segundos procedentes de toda la red. Con estos datos, REE puede balancear el transporte de energía por los tendidos u ordenar generación extra. Si alguien consiguiera acceder a él de forma remota, las consecuencias podrían ser catastróficas.
Estonia, Brasil, Rusia o EEUU han sufrido ataques a redes esenciales
Aunque REE usa una red propia, punto a punto, para recibir las alertas, y dispone de su propia fibra óptica para operar las subestaciones, hay puntos de interconexión donde salta a Internet. Y la misma gran red que permite gobernar la luz puede ser el cauce para la entrada de alguien con malas intenciones.
Las redes eléctricas son una de las llamadas infraestructuras críticas: elementos del sistema esenciales para mantener las funciones sociales vitales y, como define una directiva comunitaria, su perturbación o destrucción afectaría de forma grave al Estado.
Los 12 a proteger
El 80% de las infraestructuras críticas están en manos privadas
El listado lo forman sectores como la energía, el transporte, la industria química y nuclear, la Administración, el sistema financiero y tributario, la distribución de agua, las telecomunicaciones... así hasta 12. Un catálogo que está elaborando el Centro Nacional de Protección de Infraestructuras Críticas (CNPIC), dependiente del Ministerio del Interior, y que ha recopilado más de 3.700 sistemas esenciales. El 80% está en manos privadas, ya que buena parte de los servicios públicos del siglo XX han sido privatizados en las dos últimas décadas. Sus gestores, salvo excepciones, no tenían que rendir cuentas en caso de un fallo.
Como explica el director del CNPIC, Fernando Sánchez, "buena parte de la seguridad nacional ha saltado a estar en manos privadas, ya no es cosa del Ministerio del Interior". La irrupción de las nuevas tecnologías de la información y la comunicación (TIC), que han permitido la modernización de los sistemas de control y operación de estas infraestructuras, también han abierto la puerta a los ciberataques. "Ahora no es el problema de una empresa, afecta a toda la población", añade Sánchez.
Por eso, el Gobierno está preparando un Real Decreto para regular la seguridad de estos servicios. "La parte de discusión interna ya ha concluido, ahora iniciaremos la fase de consultas con los gestores de las infraestructuras", explica el director del CNPIC.
Responsables de la ciberseguridad de varios países se han reunido en Madrid
Cumbre en Madrid
Muchos de esos gestores estaban entre los asistentes al I Encuentro Internacional de Protección de Infraestructuras Críticas de Información (CIIP, por sus siglas en Inglés), celebrado durante el jueves y el viernes pasados en un centro de la División de Formación y Perfeccionamiento del Ministerio del Interior en Madrid.
Responsables de la ciberseguridad de varios países y organizaciones internacionales como la OTAN, la Unión Europea, la Organización de Estados Americanos (OEA) y expertos de la industria de seguridad acompañaron a los gestores de las infraestructuras.
«La seguridad de los servicios básicos da miedo», dice un experto
Cuando se le pregunta el porqué de este evento y porqué ahora a Joaquín Castillejo, director de TB Security, empresa coordinadora del evento, dice: "Por que ya es tarde. Necesitamos coordinarnos ya". Castillejo no quiere ser alarmista, pero sostiene que el nivel de seguridad de las empresas de servicios básicos (las utilities de la jerga económica) es bajísimo. "Da miedo", asegura.
Millones de causantes
Los ataques a sus sistemas se suceden a diario. La mayoría fracasan. Pero otros no. La fauna de atacantes es muy variada. "A los piratas informáticos, muchos en nómina de mafias, se unen gobiernos como el chino o el ruso, pero también de otros estados, y mucha empresa competidora", explica Castillejo. "Sólo China tiene un millón y medio de hackers, y sólo hablo de los de alto nivel", añade. "Nosotros sufrimos ataques constantemente; ahora mismo nuestros firewall echan humo", cuenta Manuel Carpio, director de seguridad y prevención de fraude de Telefónica durante una de las conferencias del CIIP. Recuerda también cómo, el año pasado, los servidores de la compañía en Brasil sufrieron un ataque cibernético que dejó sin Internet a millones de brasileños durante tres días.
«Ahora mismo nuestros firewall echan humo», dicen en Telefónica
Sin embargo, es raro el ataque sale a la luz. Aparte del sector nuclear, en España no hay ley que obligue a los gestores de las infraestructuras críticas a comunicar que han sido atacados. Por reputación, miedo a su impacto bursátil o razones de seguridad, no revelan si sus redes han sido violadas, la gravedad del ataque y quién ha sido el causante.
Eso va a cambiar. El decreto del Gobierno transpone una directiva comunitaria sobre el tema que debe ser adoptada antes de febrero de 2011. Además, el artículo 13 del paquete telecom, aprobado por el Parlamento Europeo en noviembre, obliga a los gestores de servicios básicos a informar a un órgano nacional, en España el CNPIC. Éste tendrá que reportar a la Agencia Europea de Seguridad de las Redes y de la Información de la Unión Europea.
El sector recela de esta norma. "Ya hemos visto el borrador", dice Juan Rubio, de Repsol, que asistió al evento. Su compañía ya comunica de forma interna cualquier problema y, de manera informal, también al CNPIC. Pronto, según el decreto, deberá tener un oficial de enlace que se relacione con el Estado.
Nada obliga a los gestores a comunicar que han sido atacados
Cuestión de dinero
Aunque a las empresas privadas no les gusta que nadie meta las narices en lo que ellas consideran sus asuntos, no les va a quedar más remedio. Peor llevan las cuestiones de la confidencialidad y el dinero. Quieren canales seguros para el envío de los informes y cláusulas de confidencialidad. Es seguro que la información no será de carácter público. De hecho, el listado de empresas e infraestructuras críticas ha sido catalogado como secreto.
"Y, ¿esto quién lo paga?" Al menos tres de los gestores de sistemas básicos que participaron en las jornadas, y otros muchos más entre de los asistentes, hicieron esa pregunta. Quieren que el Gobierno se haga cargo del sobrecoste por proteger sus redes. El director de CNPIC, sin embargo, cree que los cambios no supondrán un gasto excesivo. En todo caso, añade, "el Estado tiene el deber de tutelar la seguridad de estas infraestructuras".
Los políticos pierden
El Gobierno de EEUU realiza varios ensayos de ataques a las redes del país cada año. En estas ‘cibermaniobras’ participan miembros de las 16 agencias de seguridad y las grandes empresas del país. Pero esta semana ha tenido lugar una simulación diferente. Ha sido una organización independiente la que ha lanzado el ataque y el resultado les ha preocupado: EEUU no está preparado para este tipo de guerra.
El Bipartisan Policy Center anunció que iba a golpear las redes de EEUU con un ‘ciberataque’. La ofensiva, llamada ‘Cyber ShockWave’ fue diseñada por el ex jefe de la CIA Michael Hayden y expertos en seguridad de la empresa General Dynamics o la universidad de Georgetown. El día elegido fue el 16 de febrero.
Mientras 40 millones de estadounidenses de la costa este se quedaban a oscuras, los atacantes se hicieron con el control de decenas de millones de móviles y ordenadores del país para echar abajo Internet. Hasta Wall Street tuvo que cerrar de forma precipitada.
El gabinete de crisis, en el que había personalidades como John Negroponte, primer ‘ciberzar’ de seguridad de EEUU, o el ex ministro del Interior Michael Chertoff, fue incapaz de responder al ataque con eficacia.
Por un lado, vieron que no hay mecanismos establecidos para poder cortar la línea a millones de personas que el enemigo ha convertido en un ejército de zombies.Pero también falló el sector privado, que controla la mayor parte de las infraestructuras. El coordinador Stewart Baker, dijo al ‘Washington Post’ que “el sector privado no está preparado para defenderse de una ‘ciberacción’ de guerra y que el Gobierno tiene un papel que cumplir”.
Casos reales de 'ciberataques'
PoloniaEn enero de 2008, un joven de 14 años consiguió hacer descarrilar cuatro tranvías de la ciudad polaca de Lodz. El chaval manipuló un mando a distancia para poder cambiar la posición de las vías. La gamberrada provocó también la detención de otros tranvías y la revisión del sistema de control por señales.
EEUU
El ‘Wall Street Journal’ reveló en abril de 2009 que ‘hackers’ chinos y rusos habían accedido a la red eléctrica de EEUU. No sólo eso, fueron capaces de instalar un programa informático que, según un experto en seguridad preguntado por el periódico, podría haber interrumpido el servicio.
Brasil
En noviembre, un apagón afectó a 800 ciudades brasileñas y a todo Paraguay. Aunque la Operadora Nacional del Sistema Eléctrico reconoció una intrusión de un atacante en sus sistemas, la versión oficial es que se produjo un cortocircuito en las líneas de transmisión de la presa de Itaipú.
Estonia
En 2007, los bancos, los periódicos y las redes del Gobierno estonio fueron atacadas, dejándolas inutilizadas. El ataque procedía de Rusia. Pero este Gobierno no quiso investigarlo. Un año después, las redes de Georgia también fueron atacadas como paso previo a la entrada de los tanques rusos.
6 Comentarios
-
"el Estado tiene el deber de tutelar la seguridad de estas infraestructuras".
Pero tendrán morro!... el estado tiene que pagar todos los sobrecostes para que los nenes empresarios sigan haciendo sus chanchullos ¿no?. Si la red fuera pública y gratuita, el gobierno sí tendría la obligación de protegerla, pero mientras sólo sea explotada por empresas privadas que las den morcilla a todas. Basta ya hombre, que los ciudadanos estamos hasta las narices de acabar pagando las incompetencias del tejido empresarial.
-
Es cierto que "el estado tiene obligación de mantener la seguridad", y en todos los aspectos, pero a nadie le entraría en la cabeza que las cámaras de seguridad y los empleados de seguridad de tiendas del país los pagara el gobierno, a nadie le entraría que se pagase esto.
Es una clara maniobra de enriquecimiento por parte de éstas empresas.
-
Vuelvo a incidir sobre algo que ya comenté en una noticia similar de hace unos días referida a España y la seguridad informática:
Si realmente a este gobierno (y a todos los anteriores) les importara algo la seguridad informática, lo primero que tendrían que hacer es REGULAR LA PROFESION DE INGENIERO INFORMATICO cosa que repetidas veces se han negado y siempre han puesto trabas a ello desde hace más de 20 años que se viene demandando.
En este país, la mayoría de las profesiones están reguladas precisamente para que sólo los profesionales cualificados realicen esa labor y la calidad (así como la responsabilidad) de los trabajos sea clara y directa.
Peluqueros, buzos, decoradores, cocineros, porteros de discoteca, etc. están reguladas, pero en este país cualquiera con un cursito de 60 horas se pone a trabajar como informático. ¿Y a quién le importa la calidad de su faena? ...así tenemos "profesionales" informáticos que hacen lo que buenamente pueden, pero (aquí el verdadero motivo de que nadie haga nada) son más baratos que una cajera de supermercado (con todo mi respeto hacia ellos/as).
Ni siquiera en los nuevos planes de estudios para la Ingeniería Informática desarrollados en España (en otros países no ha sido así), según directrices de Bolonia, se dan atribuciones exclusivas a los ingenieros informáticos ni se regula su profesion.
Párense a pensar por un momento si usted iría a un médico que no haya estudiado medicina, si viviría en una casa que no hubiese diseñado un arquitecto sino un aficionado a las "casitas" o se metería en un avión pilotado por un aficionado que hizo una vez un curso de 20 horas de pilotaje. La respuesta es evidente: NO.
Y, por tanto, ¿por qué se permite que pase esto en los sistemas informáticos?
(que no olvidemos que regulan casi todo en el mundo actual: semáforos, cuentas bancarias, centrales nucleares, los sistemas de vuelo de aviones, etc.)
Así, que no nos vengan con monsergas.
Ahora se preguntan de que si los gobiernos... si las empresas privadas...
No es un problema de "lo público" o "lo privado"; es un problema de regulacion y de responsabilidad profesional. Y nadie hace nada...
Si quieren hacer algo al respecto es fácil: dejen trabajar sólo a los profesionales expertos y regulen todos los proyectos informáticos con un responsable informático colegiado.
Basta ya de intrusismo profesional.
¡Regulacion informática ya!
-
Estaba buscando alguna noticia relacionada con que ayer, a las 21.15hrs, en Madrid, entre la calle Principe de Vergara y Castello paso algo raro con los semaforos, el de la calle goya con castello no funcionaba (directamente) y los 4 de la calle P.Vergara esquina Goya estuvieron del mismo color durante minimo 5 minutos, los coches empezaron a pitar y los peatones nos mirabamos.
Me ha sorprendido ver esta noticia datada de ayer que justo paso esto. Sería interesante que alguien que paseara por la zona lo constatara, pero no se si algu modo de publicitarlo, porque esto paso, ayer, no duro demasiado pero insisto que los peatones nos mirabamos con complicidad, no sabiamos si reirnos o realmente, asustarnos.
Saludos
-
Pues no estaría nada mal colapsar el tráfico en todo Madrid, a ver si revientan de tando coche, ruido y polución en todos los rincones de la ciudad... Jodidos conductores!
-
Pues si tiene el deber de tutelar la seguridad de las infraestructuras, no se nota mucho, construir una red segura es sencillo pero no hay voluntad en hacer las cosas bien. De todas formas LAS COSAS CRITICAS NO SE CONECTAN A LA RED Y MUERTO EL PERRO SE ACABÓ LA RABIA. Un avion moderno que sus mandos estan movidos por un ordenador no esta conectado a la red y funciona perfectamente, cumple su funcion sin mas problemas.
Quizá te interese...
Cargando...
Publicidad
Comentario más valorado
"el Estado tiene el deber de tutelar la seguridad de estas infraestructuras". Pero tendrán morro!... el estado tiene que pagar todos los sobrecostes para que los nenes empresarios sigan haciendo sus chanchullos ¿no?. Si la red fuera pública y [...]
Lo más...
-
Dinero
Mariano Rajoy: "No va a haber ningún rescate de la banca española"
-
Culturas
Javier Krahe será juzgado hoy por un vídeo sobre cómo cocinar a un Cristo
-
Culturas
Javier Krahe asegura que si le condenan "se exiliará a Francia"
-
España
Bankia insiste en que no devolverá los 19.000 millones al Estado
-
Dinero
Bankia se hunde en su regreso a la Bolsa mientras la prima supera los 500 puntos
-
Dinero
Mariano Rajoy: "No va a haber ningún rescate de la banca española"
-
Deportes
"Madrid será la cuna del fascismo"
-
Culturas
Javier Krahe asegura que si le condenan "se exiliará a Francia"
-
España
Bankia insiste en que no devolverá los 19.000 millones al Estado
-
Culturas
Javier Krahe será juzgado hoy por un vídeo sobre cómo cocinar a un Cristo
-
España
UGT insta al Defensor del Pueblo a presentar un recurso de inconstitucionalidad a las medidas educativas de Wert
-
Internacional
Gritos a Blair en su comparecencia: "¡Es un criminal de guerra!"
-
Internacional
Las FARC anuncian que liberarán este miércoles al periodista francés
-
Deportes
Federer iguala la marca de Connors en Roland Garros
-
Culturas
La Biblioteca Nacional desvela al Leonardo da Vinci más íntimo
-
Dinero
Mariano Rajoy: "No va a haber ningún rescate de la banca española"
-
Dinero
Bankia se hunde en su regreso a la Bolsa mientras la prima supera los 500 puntos
-
Culturas
Javier Krahe asegura que si le condenan "se exiliará a Francia"
-
Dinero
La prima de riesgo española supera por primera vez los 500 puntos
-
Culturas
Javier Krahe será juzgado hoy por un vídeo sobre cómo cocinar a un Cristo
Cargando...