España, un país ciberinseguro ante las armas de interrupción masiva

Internet y la ingente cantidad de sistemas interconectados entre sí por vía de las redes de telecomunicaciones han ampliado el espectro de riesgo para un país. En este sentido, cuanto más desarrollado es un Estado, más elementos vulnerables posee susceptibles de correr peligro, no sólo por parte de criminales y terroristas, sino también por otros Estados, hasta el punto de que las Fuerzas de Seguridad ya han acuñado el término "Estados Canalla" para referirse a ellos. La Unión Europa cuenta con la Agencia Europea para la Seguridad de la Información y las Redes (ENISA, por sus siglas en inglés), de carácter más consultivo que ejecutivo, y el pasado mes de octubre publicó un informe en el que revelaba que en 2011 tan sólo once países han reportado 51 incidentes significativos -entre los que se encuentran algunos motivados por factores meteorológicos- y nueve países ni siquiera han informado de ninguno.

Una cifra que para Alfredo Reino, experto en seguridad y uno de los pocos españoles que colaboran en ENISA, "parece increíblemente baja". De hecho, los números que sólo España maneja a nivel interno la superan con creces y Javier Candau, jefe del área de Ciberseguridad del Centro Criptológico Nacional (CCN), adscrito al CNI (Centro Nacional de Inteligencia), habla de casi 2.000 incidentes registrados en 2011 (unos 800 altos y más de 90 muy altos o críticos). La situación empeora en 2012 y sólo hasta el pasado mes de octubre la cifra total de incidentes ya rozaba los 2.900.

La OTAN estima que un 15% de los ordenadores conectados mundialmente han estado comprometidos alguna vezUna de las causas de la enorme diferencia de cifras radica en el artículo 13a de la Directiva Marco europea de 2009 (2009/140/EC), que es lo suficientemente vaga para que tan sólo sugiera que las autoridades nacionales deberían informar anualmente a ENISA y a la Comisión Europea de este tipo de incidencias. Ninguna empresa y, por extensión ningún Estado, se encuentra cómodos admitiendo públicamente sus vulnerabilidades, aun cuando la propia OTAN estime que un 15% de los ordenadores conectados mundialmente han estado comprometidos alguna vez y han sido parte de botnets, es decir, fueron controlados remotamente para realizar ataques, por ejemplo, de denegación de servicio.

Reino asegura que "en Estados Unidos es obligatorio informar de cualquier brecha de seguridad pero aquí en Europa no, aunque se está tratando de conseguirlo y, cuando finalmente se haga, habrá muchos más supuestos que en EEUU para tener que declarar". Entrará en juego la polémica privacidad, que desde el punto de vista del experto, "mientras que en EEUU la amenaza viene por parte de las empresas, que son muy intrusivas con sus empleados, en Europa viene directamente de los Gobiernos que cada vez quieren arañar más privacidad de los individuos".

España, sin estrategia

Las ciberamenazas se ciernen sobre los sistemas clave en una sociedad, hasta el punto de que algunos líderes militares ven las armas informáticas como de destrucción masiva, habiéndolas bautizado como armas de interrupción masiva. El Centro Nacional de Protección de Infraestructuras Críticas contempla hasta doce sectores potencialmente en riesgo: Administración, agua, alimentación, energía, espacio, industria nuclear, industria química, instalaciones de investigación, salud, sistema financiero y tributario, transporte, tecnologías de la información y las telecomunicaciones.

Muchos expertos alertan de la necesidad de una Estrategia Nacional del Ciberespacio en España

A pesar de este escenario de riesgo, son muchos los expertos, como Ángel Gómez de Ágreda, teniente coronel del Ejército del Aire, que consideran que aun "es necesario desarrollar una Estrategia Nacional del Ciberespacio al estilo de otros países de nuestro entorno. Una que vaya más allá del mero entorno de la Defensa y que agrupe a actores públicos y privados de aquellos sectores trascendentales para nuestra seguridad y prosperidad".

Y es que en España, hasta la Revisión Estratégica de la Defensa de 2003, ni siquiera aparecía en su estrategia el peligro de los ataques cibernéticos. Nuestro país no cuenta con un órgano único al más alto nivel que asuma el valor estratégico de la ciberseguridad, a pesar de que incluso el jefe de esta área de la OTAN advierte de que los ciberataques y el ciberterrorismo suponen la misma amenaza para la Seguridad Nacional que un misil. Reino Unido, por ejemplo, cuenta con la Oficina de Ciberseguridad y de Seguridad de la Información (OCSIA, por sus siglas en inglés) y en Francia existe la Agencia Nacional para la Seguridad de los Sistemas de Información (ANSSI, por sus siglas en francés).

El teniente general del Ejército de Tierra, Luis Feliú Ortega, va incluso más allá al asegurar que "España, a diferencia de otros países de nuestro entorno, no ha definido todavía una legislación específica y completa en materia de ciberseguridad. Además, incluso con la existencia de este marco normativo, su grado de cumplimiento, en algunos casos, es preocupantemente bajo, lo cual supone un aumento del riesgo de nuestro ciberespacio".

España cuenta con legislación distribuida en distintos ámbitos ministeriales, pero que, continúa Feliú, "no ha sido desarrollada a partir de una política común que refleje el ámbito nacional y estratégico de la ciberseguridad y así las responsabilidades en el ciberespacio están muy fragmentadas en diferentes organismos, dependientes de distintos ministerios que abordan el problema de manera parcial".

Prueba de esta atomización de competencias fue el acuerdo suscrito el pasado mes de octubre entre el Ministerio del Interior y el de Industria, Energía y Turismo para luchar contra el ciberterrorismo y aumentar la protección de infraestructuras críticas. Una fragmentación de responsabilidades que deriva en que Defensa, Interior o Industria se pasen la pelota el uno al otro para, finalmente, haber optado por no participar en este reportaje.

Contratar hackers

John Arquilla, profesor de análisis de la defensa de la Escuela Naval de Postgrado de los EE.UU. en Monterey (California), es el padre del término "ciberguerra" hace ya más de dos décadas. Para Arquilla, una de las soluciones de los Gobiernos para combatir esta amenaza pasa por contratar a hackers de élite para poder defenderse y lanzar ataques cibernéticos contra los enemigos. El experto, de hecho, considera que EEUU se ha quedado atrás en la carrera cibernética y apuesta por la creación de un nuevo Bletchley Park de genios informáticos, como en la II Guerra Mundial.

La defensa ante ciberataques pasa por contratar o formar a hackersOtros países, como explica la analista del Instituto Español de Estudios Estratégicos (IEEE), María José Caro Bejarano, apuestan por formar a sus propios hackers. Es el caso de Corea del Sur, que acaba de poner en marcha un programa conocido como Best of the best (El mejor de los mejores) para combatir posibles ataques en la red. Algo así en España parece improbable, sugiere Alfredo Reino, pues "el perfil técnico de seguridad está muy devaluado en España y los mejores terminan siempre en el sector privado".

A ello hay que sumar, además, la caída de la inversión en seguridad debido a la crisis -"es mucho más caro defender que atacar", apunta- y la falta de cultura de seguridad que, aunque va superándose, aún es patente en nuestro país. Reino relata, incluso, "haber conseguido llegar al corazón de un centro de proceso de datos de alguna gran empresa en España con tan sólo ponerme un mono de Telefónica, cuando realizaba auditorías de seguridad".

Primer laboratorio de experimentación

Una de las últimas apuestas de España en materia de ciberseguridad es el Laboratorio de Experimentación de Ciberdefensa, ubicado en el Instituto Tecnológico ‘La Marañosa' (ITM), cuya puesta en marcha está programada para antes de que acabe el año. Sólo en los últimos meses, los concursos públicos convocados para su dotación manejan presupuestos que rondan los 120.000 euros.

Javier Bermejo Higuera, responsable de la Unidad de Seguridad Área TICs del ITM, explica que el objetivo de este laboratorio será experimentar, investigar y desarrollar nuevas técnicas y tecnologías para la ciberdefensa. Para ello se configurará una plataforma virtualizada de 1.000 nodos, lo que permitirá la simulación de múltiples arquitecturas creando un entorno controlado en el cual no existan eventos inesperados o, al menos, sean minimizados.

Bermejo asegura que el laboratorio conjugará tecnologías duales, aplicables tanto al entorno militar como civil, junto a tecnologías exclusivas del entorno militar. En suma, un banco de pruebas implementado en una infraestructura de recepción para el código malicioso o malware que, proporcionaría la capacidad de poder prevenir, estudiar y caracterizar las acciones y consecuencias de un ciberataque.

Este proyecto se suma a otros pilotos ya en marcha como CARMEN (Centro de Análisis de Registros y Minería de Eventos Nacionales), que permite el análisis en tiempo real de diversas fuentes de logs o registros, basados en modelos matemáticos y utilizando para ello ingeniería de minería de datos.