Los 'ciberpiratas' atacan el mundo real

Una mañana cualquiera, en una gran ciudad, todos los semáforos se vuelven repentinamente locos; están en verde y en rojo a la vez. Los paneles informativos muestran mensajes imposibles, ampliando el límite de circulación de velocidad hasta los 200 kilómetros por hora. Pero no se trata de un fallo técnico. El sistema ha sido atacado desde fuera. Aunque el ejemplo es una ficción, Estonia, Brasil, Rusia o EEUU ya han sufrido ataques a algún servicio básico. Peor aún, los expertos sostienen que las ciberamenazas no dejarán de crecer en el futuro, convirtiendo a las redes en el nuevo escenario de la eterna guerra entre los buenos y los malos.

Todos los sistemas básicos que sostienen la sociedad están conectados a una red. El abastecimiento de agua, la electricidad, el sistema financiero o los transportes serían ingobernables sin el concurso de las telecomunicaciones. Sólo Red Eléctrica Española (REE), el operador que gestiona el transporte eléctrico, recibe en su centralizado Sistema de Control de Energía (SCE) 330.000 mediciones cada cuatro segundos procedentes de toda la red. Con estos datos, REE puede balancear el transporte de energía por los tendidos u ordenar generación extra. Si alguien consiguiera acceder a él de forma remota, las consecuencias podrían ser catastróficas.

Estonia, Brasil, Rusia o EEUU han sufrido ataques a redes esenciales

Aunque REE usa una red propia, punto a punto, para recibir las alertas, y dispone de su propia fibra óptica para operar las subestaciones, hay puntos de interconexión donde salta a Internet. Y la misma gran red que permite gobernar la luz puede ser el cauce para la entrada de alguien con malas intenciones.

Las redes eléctricas son una de las llamadas infraestructuras críticas: elementos del sistema esenciales para mantener las funciones sociales vitales y, como define una directiva comunitaria, su perturbación o destrucción afectaría de forma grave al Estado.

Los 12 a proteger

El 80% de las infraestructuras críticas están en manos privadas

El listado lo forman sectores como la energía, el transporte, la industria química y nuclear, la Administración, el sistema financiero y tributario, la distribución de agua, las telecomunicaciones... así hasta 12. Un catálogo que está elaborando el Centro Nacional de Protección de Infraestructuras Críticas (CNPIC), dependiente del Ministerio del Interior, y que ha recopilado más de 3.700 sistemas esenciales. El 80% está en manos privadas, ya que buena parte de los servicios públicos del siglo XX han sido privatizados en las dos últimas décadas. Sus gestores, salvo excepciones, no tenían que rendir cuentas en caso de un fallo.

Como explica el director del CNPIC, Fernando Sánchez, "buena parte de la seguridad nacional ha saltado a estar en manos privadas, ya no es cosa del Ministerio del Interior". La irrupción de las nuevas tecnologías de la información y la comunicación (TIC), que han permitido la modernización de los sistemas de control y operación de estas infraestructuras, también han abierto la puerta a los ciberataques. "Ahora no es el problema de una empresa, afecta a toda la población", añade Sánchez.

Por eso, el Gobierno está preparando un Real Decreto para regular la seguridad de estos servicios. "La parte de discusión interna ya ha concluido, ahora iniciaremos la fase de consultas con los gestores de las infraestructuras", explica el director del CNPIC.

Responsables de la ciberseguridad de varios países se han reunido en Madrid

Cumbre en Madrid

Muchos de esos gestores estaban entre los asistentes al I Encuentro Internacional de Protección de Infraestructuras Críticas de Información (CIIP, por sus siglas en Inglés), celebrado durante el jueves y el viernes pasados en un centro de la División de Formación y Perfeccionamiento del Ministerio del Interior en Madrid.

Responsables de la ciberseguridad de varios países y organizaciones internacionales como la OTAN, la Unión Europea, la Organización de Estados Americanos (OEA) y expertos de la industria de seguridad acompañaron a los gestores de las infraestructuras.

«La seguridad de los servicios básicos da miedo», dice un experto

Cuando se le pregunta el porqué de este evento y porqué ahora a Joaquín Castillejo, director de TB Security, empresa coordinadora del evento, dice: "Por que ya es tarde. Necesitamos coordinarnos ya". Castillejo no quiere ser alarmista, pero sostiene que el nivel de seguridad de las empresas de servicios básicos (las utilities de la jerga económica) es bajísimo. "Da miedo", asegura.

Millones de causantes

Los ataques a sus sistemas se suceden a diario. La mayoría fracasan. Pero otros no. La fauna de atacantes es muy variada. "A los piratas informáticos, muchos en nómina de mafias, se unen gobiernos como el chino o el ruso, pero también de otros estados, y mucha empresa competidora", explica Castillejo. "Sólo China tiene un millón y medio de hackers, y sólo hablo de los de alto nivel", añade. "Nosotros sufrimos ataques constantemente; ahora mismo nuestros firewall echan humo", cuenta Manuel Carpio, director de seguridad y prevención de fraude de Telefónica durante una de las conferencias del CIIP. Recuerda también cómo, el año pasado, los servidores de la compañía en Brasil sufrieron un ataque cibernético que dejó sin Internet a millones de brasileños durante tres días.

«Ahora mismo nuestros firewall echan humo», dicen en Telefónica

Sin embargo, es raro el ataque sale a la luz. Aparte del sector nuclear, en España no hay ley que obligue a los gestores de las infraestructuras críticas a comunicar que han sido atacados. Por reputación, miedo a su impacto bursátil o razones de seguridad, no revelan si sus redes han sido violadas, la gravedad del ataque y quién ha sido el causante.

Eso va a cambiar. El decreto del Gobierno transpone una directiva comunitaria sobre el tema que debe ser adoptada antes de febrero de 2011. Además, el artículo 13 del paquete telecom, aprobado por el Parlamento Europeo en noviembre, obliga a los gestores de servicios básicos a informar a un órgano nacional, en España el CNPIC. Éste tendrá que reportar a la Agencia Europea de Seguridad de las Redes y de la Información de la Unión Europea.

El sector recela de esta norma. "Ya hemos visto el borrador", dice Juan Rubio, de Repsol, que asistió al evento. Su compañía ya comunica de forma interna cualquier problema y, de manera informal, también al CNPIC. Pronto, según el decreto, deberá tener un oficial de enlace que se relacione con el Estado.

Nada obliga a los gestores a comunicar que han sido atacados

Cuestión de dinero

Aunque a las empresas privadas no les gusta que nadie meta las narices en lo que ellas consideran sus asuntos, no les va a quedar más remedio. Peor llevan las cuestiones de la confidencialidad y el dinero. Quieren canales seguros para el envío de los informes y cláusulas de confidencialidad. Es seguro que la información no será de carácter público. De hecho, el listado de empresas e infraestructuras críticas ha sido catalogado como secreto.

"Y, ¿esto quién lo paga?" Al menos tres de los gestores de sistemas básicos que participaron en las jornadas, y otros muchos más entre de los asistentes, hicieron esa pregunta. Quieren que el Gobierno se haga cargo del sobrecoste por proteger sus redes. El director de CNPIC, sin embargo, cree que los cambios no supondrán un gasto excesivo. En todo caso, añade, "el Estado tiene el deber de tutelar la seguridad de estas infraestructuras".

Los políticos pierden

El Gobierno de EEUU realiza varios ensayos de ataques a las redes del país cada año. En estas ‘cibermaniobras’ participan miembros de las 16 agencias de seguridad y las grandes empresas del país. Pero esta semana ha tenido lugar una simulación diferente. Ha sido una organización independiente la que ha lanzado el ataque y el resultado les ha preocupado: EEUU no está preparado para este tipo de guerra.

El Bipartisan Policy Center anunció que iba a golpear las redes de EEUU con un ‘ciberataque’. La ofensiva, llamada ‘Cyber ShockWave’ fue diseñada por el ex jefe de la CIA Michael Hayden y expertos en seguridad de la empresa General Dynamics o la universidad de Georgetown. El día elegido fue el 16 de febrero.
Mientras 40 millones de estadounidenses de la costa este se quedaban a oscuras, los atacantes se hicieron con el control de decenas de millones de móviles y ordenadores del país para echar abajo Internet. Hasta Wall Street tuvo que cerrar de forma precipitada.

El gabinete de crisis, en el que había personalidades como John Negroponte, primer ‘ciberzar’ de seguridad de EEUU, o el ex ministro del Interior Michael Chertoff, fue incapaz de responder al ataque con eficacia.

Por un lado, vieron que no hay mecanismos establecidos para poder cortar la línea a millones de personas que el enemigo ha convertido en un ejército de zombies.Pero también falló el sector privado, que controla la mayor parte de las infraestructuras. El coordinador Stewart Baker, dijo al ‘Washington Post’ que “el sector privado no está preparado para defenderse de una ‘ciberacción’ de guerra y que el Gobierno tiene un papel que cumplir”.

Casos reales de 'ciberataques'Polonia
En enero de 2008, un joven de 14 años consiguió hacer descarrilar cuatro tranvías de la ciudad polaca de Lodz. El chaval manipuló un mando a distancia para poder cambiar la posición de las vías. La gamberrada provocó también la detención de otros tranvías y la revisión del sistema de control por señales.

EEUU
El ‘Wall Street Journal’ reveló en abril de 2009 que ‘hackers’ chinos y rusos habían accedido a la red eléctrica de EEUU. No sólo eso, fueron capaces de instalar un programa informático que, según un experto en seguridad preguntado por el periódico, podría haber interrumpido el servicio.

Brasil
En noviembre, un apagón afectó a 800 ciudades brasileñas y a todo Paraguay. Aunque la Operadora Nacional del Sistema Eléctrico reconoció una intrusión de un atacante en sus sistemas, la versión oficial es que se produjo un cortocircuito en las líneas de transmisión de la presa de Itaipú.

Estonia
En 2007, los bancos, los periódicos y las redes del Gobierno estonio fueron atacadas, dejándolas inutilizadas. El ataque procedía de Rusia. Pero este Gobierno no quiso investigarlo. Un año después, las redes de Georgia también fueron atacadas como paso previo a la entrada de los tanques rusos.