Público
Público

La caída de Facebook hace saltar las alarmas sobre las amenazas globales de los hackers

El sector de las Tecnologías de la Información y las Comunicaciones carece de un Plan Estratégico de Seguridad

Imagen de un centro de datos.

DAVID BOLLERO

En torno a las siete de la mañana de hoy, las redes sociales Facebook, Instagram, Tinder, AIM y Hipchat sufrían un apagón de sus servidores, provocando una caída de sus webs por espacio aproximado de una hora. Las primeras hipótesis llevaban a pensar en una acción del grupo Lizard Squad, defensores del grupo terrorista Estado Islámico, si bien Facebook comunicaba poco después a la BBC que el origen del problema se debía a un error de sus ingenieros.

Lo cierto es que cada vez es mayor el número de empresas que externalizan sus centros de proceso de datos (CPD) en España. Amparándose en razones de costes y seguridad, muchas compañías han apostado por llevar sus servidores de información a las instalaciones de terceros. A esta tendencia se suma, además, el crecimiento exponencial que están teniendo los servicios en la nube (cloud computing) cuyos proveedores, a su vez, también externalizan sus servidores.

Cada vez es mayor el número de empresas que externalizan sus centros de proceso de datos (CPD) en España

Esta corriente ha dibujado un nuevo escenario en el que bajo un mismo techo se agrupan la información y los servicios de cientos de compañías e, incluso, instituciones públicas. Servicios, por otro lado, que de no estar en marcha paralizarían buena parte de la actividad del país. En ese sentido, por las instalaciones de Telvent (Schneider Electric), que en 1999 abrió en Madrid el primer CPD neutral de España, pasa entre el 85-90% del tráfico de Internet, según asegura Enrique Martín, director de Procesos y Calidad y máximo responsable del Centro de Excelencia de Ciberseguridad de la compañía.

Por este motivo, el sector de las Tecnologías de la Información y las Comunicaciones (TIC) es uno de los sectores estratégicos, por contar con las denominadas “infraestructuras críticas”, es decir, aquellas que proporcionan servicios esenciales cuyo funcionamiento es indispensable y no permite soluciones alternativas por lo que un atentado contra ellas tendrían un grave impacto en el país. A las TIC se suman también los sectores de Administración, Agua, Alimentación, Energía, Espacio, Industria Química, Industria Nuclear, Instalaciones de Investigación, Salud, Sistema Financiero y Tributario y Transporte.

Hablar de ciberseguridad nos lleva a pensar en Internet, hackers y cortafuegos, pero a día de hoy bastaría con un atentado bomba en una de estas instalaciones –y sus correspondientes centros de respaldo- para paralizar parte de los principales sectores del país. La creciente tendencia a externalizar los CPD ha concentrado en unos pocos puntos muy localizados el riesgo de atentado.

Información sensible pública

Cuando el pasado 8 de enero, tras los atentados yihadistas perpetrados en Francia, el ministerio del Interior ordenó al Centro Nacional para la Protección de las Infraestructuras Críticas (CNPIC) la activación de los protocolos de seguridad correspondientes al Nivel 3 del Plan de Prevención y Protección Antiterrorista, Telvent fue avisada.

“No cambia nada”, explica Martín, porque “utilizamos los mismos mecanismos de control que en nuestra operativa diaria”, limitándose a confirmar que todos los datos que maneja el CNPIC son correctos y “a poner en copia de la activación a nuestro centro de operación y a nuestros responsables de seguridad”.

La creciente tendencia a externalizar los CPD ha concentrado en unos pocos puntos muy localizados el riesgo de atentado


Y es que las instalaciones de Telvent son una de las cerca de 3.500 que hay identificadas en el Catálogo Nacional de Infraestructuras Estratégicas, guardado en el más absoluto secreto. Sin embargo, cualquiera puede navegar por internet y encontrar la localización exacta de cada uno de estos CPD, sus especificaciones arquitectónicas y de sus elementos de seguridad, incluidos esquemas de los llamados sistemas SCADA (Supervisory Control And Data Acquisition), esto es, los sistemas de monitorización y control de procesos de las infraestructuras. Estos sistemas SCADA han sido punto de entrada de los principales ciberataques a la industria –como el caso de las centrifugadoras de uranio enriquecido de Irán con el virus Stuxnet, cuya autoría oficiosamente se atribuye a EEUU e Israel.

Enrique Martín admite que “la cultura de ciberseguridad no ha existido en los centros de control. Estoy aburrido de ver en Internet las versiones exactas de los programas que gestionan instalaciones de tratamiento de agua potable porque los ingenieros de control, en su candidez, han publicado sus currículums y los proyectos que han realizado”. Ante esta falta de cultura de seguridad, Martín precisa que “una cosa es lo que se pueda ver en un pantallazo y otra las medidas de protección que nosotros hayamos implantado, así como las revisiones que realizamos periódicamente”, entre los que se incluyen simulacros trimestrales.

Sin embargo, la información pública que circula en Internet –las llamadas ‘fuentes abiertas’- pueden proporcionar datos más que suficientes para poner en apuros a uno de estos operadores de infraestructuras críticas- Desde planos de las instalaciones y sistemas de seguridad obtenidos a partir de concursos públicos, a casos de éxito publicados con fines comerciales, proyectos de fin de carrera o, las propias redes sociales profesionales que nos detallan perfiles de las personas que trabajan en las instalaciones, constituyen ingredientes perfectos para planear un ataque físico o cibernético mediante técnicas de ingeniería social.

El sector tecnológico, sin Plan Estratégico

A pesar de que la Ley 8/2011 de Protección de Infraestructuras Críticas (LPIC) y su posterior reglamento parecían un buen punto de partida para mejorar en seguridad, lo cierto es que los trabajos avanzan a un ritmo muy lento. Según lo establecido, todos los sectores estratégicos deberían contar con sus Planes Estratégicos de seguridad pues, como indica Martín, se trata de “doce sectores muy distintos, con casuísticas muy diferentes y que jamás han pensado en la seguridad”.

Martín llama la atención sobre otra problemática añadida: la falta de personal

Casi tres años después de la aprobación del Reglamento, tan sólo el sector energético (electricidad, gas y petróleo), el nuclear y el financiero (tanto banca como Agencia Tributaria) cuentan con sus planes, aprobados a mediados del año pasado. El sector TIC en cambio, a pesar de su criticidad por la ingente cantidad de información y procesos que hay en juego, no sólo no tiene Plan sino que Fernando Sánchez Gómez, director del CNPIC, avanzaba el año pasado que no será hasta la primavera de este año cuando se desarrolle otra fase que incluye los sectores TIC, Transporte (aéreo, marítimo, ferroviario y terrestre) y Agua.

Hasta entonces, los operadores de estas infraestructuras críticas se apoyan en su propio criterio, algunas certificaciones como la ISO27001 y la ISO22301 (Telvent cuenta con ambas) y algunas guías de ‘buenas prácticas’ con las que redactar sus planes de protección específicos.

Por si esto no fuera poco, Martín llama la atención sobre otra problemática añadida: la falta de personal. “Es un problema grave”, afirma, porque “los sistemas ciberfísicos no se pensaron para que pudieran ser atacados, de manera que ahora esto es absolutamente nuevo para los equipos de ingenieros de proceso que tienes que involucrar a la hora de proteger las infraestructuras críticas”.

Desde su punto de vista, estas infraestructuras tienen que hacer frente a la caída de universitarios de ingenierías (según el INE, han disminuido más de un 23% en la última década), quedando dos alternativas, en palabras del directivo de Telvent: “coger ingenieros industriales y reconvertirles a seguridad, o coger consultores de seguridad de Tecnologías de la Información y reconvertirles a los entornos de proceso”.

España, a remolque

Históricamente, España parece haber ido a remolque no sólo de otros países, sino de los mismos acontecimientos en materia de seguridad. Ya sucedió con la Estrategia de Ciberseguridad Nacional, que no vio la luz hasta finales de 2013. Un año antes, miembros de las Fuerzas Armadas como el teniente general del Ejército de Tierra, Luis Feliú Ortega, ya advertía de que “España, a diferencia de otros países de nuestro entorno, no ha definido todavía una legislación específica y completa en materia de ciberseguridad”, destacando que “las responsabilidades en el ciberespacio están muy fragmentadas en diferentes organismos, dependientes de distintos ministerios que abordan el problema de forma parcial”.

“España, a diferencia de otros países de nuestro entorno, no ha definido todavía una legislación específica y completa en materia de ciberseguridad”

En esa misma línea, su colega Ángel Gómez de Ágreda, teniente coronel del Ejército del Aire, también reclamaba “desarrollar una Estrategia Nacional del Ciberespacio al estilo de otros países de nuestro entorno. Una que vaya más allá del mero entorno de la Defensa y que agrupe a actores públicos y privados de aquellos sectores trascendentales para nuestra seguridad y prosperidad”.
Con la protección de las Infraestructuras críticas ha sucedido algo parecido. Siete meses después de que Madrid sufriera los terribles atentados del 11-M en 2004, la Comisión Europea adoptó la comunicación sobre protección de las infraestructuras críticas, lanzando propuestas para mejorar la prevención, preparación y respuesta de Europa frente a atentados terroristas que la amenacen. En España, no sería hasta 2007 cuando el Secretario de Estado de Seguridad aprobara el Plan Nacional de Protección de las Infraestructuras Críticas, tras el cual se crearía el primer el primer Catálogo Nacional de Infraestructuras Estratégicas.
La lentitud de movimientos de la Administración española no quedaría ahí: de nuevo, en 2008, la Comisión Europea elaboró una Directiva sobre la identificación y designación de infraestructuras Criticas Europeas y la evaluación de la necesidad de mejorar su protección (Directiva 2008/114/CE).

No sería hasta abril de 2011 –con los plazos para trasponer la Directiva europea expirados- cuando España promulgara la Ley 8/2011 de Protección de Infraestructuras Críticas (LPIC) y un mes después con el Real Decreto 704/2011 desarrollara el reglamento de protección de estas infraestructuras para establecer con claridad las responsabilidades y obligaciones de los diferentes agentes involucrados en su protección a nivel nacional.

Ante esta lentitud de repuesta en un asunto tan crítico –sobre el que el Ministerio del Interior ha rechazado hacer cualquier comentario- Enrique Martín sostiene que “el problema es que somos europeos y cada país ha interpretado a su manera la directiva, desde el número de sectores críticos que contemplan, hasta la aproximación a las medidas concretas”. Esta disparidad de criterios sorprende, considerando que “tenemos a ENISA que, de alguna manera, es el organismo que tiene que regular este tipo de medidas, pero todavía no se ha llegado a ningún tipo de estandarización internacional, ni siquiera hay guías que los europeos estemos compartiendo”.

¿Te ha resultado interesante esta noticia?

Más noticias