Ciberataques para colapsar un país

La ciberseguridad es también una cuestión de Estado. Proteger los sectores estratégicos es una prioridad ante el auge de ciberataques que tiene por objetivo paralizar un país. 

27 de junio de 2017. Pavlo Rozenko, viceprimer ministro de Ucrania, confirma en Twitter que el país ha sido objeto de un ciberataque a escala mundial. Ha afectado a sus servicios básicos. El aeropuerto de Kiev no puede ofrecer información sobre llegadas y salidas de vuelos; en el metro, los pasajeros no pueden pagar en las máquinas con su tarjeta de crédito; se caen los ordenadores de varios departamentos del Gobierno; el medidor de los niveles de uranio de la central de Chernóbil deja de funcionar; y los bancos no pueden ofrecer muchos servicios porque el corazón del sistema, el Banco Central de Ucrania, también ha sido atacado.

En 2016, la víspera de Nochebuena, 250.000 hogares de Ucrania se quedaron sin luz varias horas tras un ciberataque a 30 plantas eléctricas. En 2015 pasó algo similar.

Ucrania es el caso más emblemático. El que abrió los ojos sobre un problema en aumento. “La creciente tendencia de utilizar los ciberataques para atacar infraestructuras críticas o sectores estratégicos aumenta el temor de que, en el peor escenario, los ciberdelincuentes pueden desencadenar un colapso y parón total de los sistemas que mantienen a las sociedades en funcionamiento”, recoge el World Economic Forum (WEF) en su informe 2018 Global Risks Report, que subraya el crecimiento del riesgo de Ciberseguridad.

En 2017, el sistema de salud británico fue un caos durante horas porque era imposible acceder a los historiales médicos de los pacientes

Más ejemplos. En 2017, el sistema de salud británico fue un caos durante horas porque era imposible acceder a los historiales médicos de los pacientes. Este año, en la inauguración de los Juegos Olímpicos de Invierno, en Corea del Sur, la web del evento estuvo varias horas sin funcionar. Japón, que en 2016 vio hackeados los sistemas de su Ministerio de Defensa –aunque no sufrió robo de datos–, quiere curarse en salud de cara a los Juegos Olímpicos de 2020 y ha creado una agencia con colaboración público-privada que impulsará la investigación, formación y la realización de ejercicios de simulación de ciberataques en infraestructuras críticas.

En España, el número de ciberincidentes en infraestructuras críticas se ha multiplicado por más de seis en los últimos tres años, al pasar de 134 en 2015 a casi 900 en 2017. El sector financiero y energía han sido los más afectados.  Aquí puedes ver el número y tipología de ciberataques, malware identificado, tipo de activos o recursos comprometidos que han sucedido en España en las últimas 24 horas, según el Modelo de Inteligencia en Ciberseguridad del INCIBE.

¿Por qué las infraestructuras críticas son ahora más vulnerables? Básicamente, por la creciente conectividad a Internet de las personas, las empresas y las cosas. Además, porque “estamos hablando de sistemas físicos que, en algunos casos, pueden incorporar tecnologías punteras como los brazos automatizados de las plantas de ensamblaje de automóviles. Pero en muchos sectores nos encontramos sistemas operativos antiguos, no preparados para las ciberamenazas actuales y, por tanto, muy vulnerables. O simplemente tecnologías que están más enfocadas al sector bancario, que siempre fue por delante. Pero el negocio de una refinería no tiene nada que ver con el de un banco. Hay que contar con sistemas que entiendan lo que está ocurriendo dentro de esa planta”, explica Alejandro Rivas-Vásquez, director de Ciberseguridad de KPMG y experto en infraestructuras críticas.

 

El ejemplo de Ucrania ilustra también por qué estos ataques son tan preocupantes. A medida que Internet va digitalizando la vida y los negocios, cualquier fallo en las redes y sistemas de un sector se propaga rápidamente a otros y puede paralizar las actividades económicas y sociales de un país. Además de las pérdidas que ocasionaría, algo así dañaría la confianza de los ciudadanos en la utilización de las TICs, algo clave hoy en día para el desarrollo económico de cualquier país.

España cuenta con 12 sectores, 147 operadores y 3.500 instalaciones calificadas como críticas

Para atajar estos riesgos, los gobiernos han ido introduciendo en las dos últimas décadas el ángulo de ciberseguridad en sus planes de seguridad nacional. Se identifican las infraestructuras estratégicas, los operadores implicados y las instalaciones más críticas para el funcionamiento del país. Y a las medidas tradicionales para preservar su integridad física, se añaden las políticas de ciberdefensa.

España, por ejemplo, cuenta con 12 sectores estratégicos (ver gráfico), 147 operadores (públicos y privados) y unas 3.500 instalaciones calificadas como sensibles. No se sabe mucho más. Toda la información del Plan y el Catálogo Nacional de Infraestructuras Críticas es secreta dada su alta sensibilidad para la seguridad nacional. Sí se conoce que cada sector, operador y planta tiene un plan específico de seguridad que debe ser validado por los supervisores, con quienes mantienen un flujo constante de comunicación bidireccional y a quienes deben reportar los incidentes.

Otro aspecto reseñable para una buena defensa es que tanto organizaciones como supervisores tengan una visión integral y transversal. En general, en Europa, hay una descentralización de supervisores que cooperan entre sí. Reino Unido, en cambio, creó a finales de 2017 un único organismo, el National Cyber Security Centre, que asume todas las cuestiones de ciberseguridad previstas en su Plan estratégico de Ciberseguridad nacional para el periodo 2016-2021.

“Hasta ahora se ha aplicado un enfoque más de compliance que de visión transversal, pero esto último es muy importante porque unos riesgos interactúan con otros y pueden generar un problema mucho mayor. Desarrollar una protección transversal completa es crítico”, dice Javier Aznar, Senior Manager de Ciberseguridad en KPMG, para quien un reglamento europeo, similar al Reglamento Europeo de Protección de Datos (RGPD), reforzaría la concienciación y protección.

De momento, no hay reglamento para la Directiva madre de esta cuestión, conocida como Directiva NIS (2016). La norma, que debe ser adoptada por los países de la UE este año, fija pautas y establece una mayor colaboración intraeuropea en la materia. Para transponerla a España, el Gobierno ha redactado un borrador de Anteproyecto de Ley sobre la Seguridad de las Redes y Sistemas de Información que ya ha pasado la fase de consultas y que va a suponer algunas diferencias sobre la práctica actual.

Algo reseñable de la Directiva NIS es que adopta una visión más transversal: tiene en cuenta la interrelación entre sectores, habla de “servicios esenciales” y no de infraestructuras críticas –concepto, este último, más identificado con el mundo físico–  e identifica el grupo de  “proveedores de servicios digitales”, que juegan un papel clave como posible conductores de ciberincidentes.  En la práctica, esa visión transversal debería ir a más.  “Con la creciente tendencia a crear ecosistemas empresariales, ¿tiene sentido señalar solo a los sectores u operadores sensibles? ¿Acaso no se puede generar el problema en el proveedor de ese operador y acabar afectándole?  ¿Y no puede una compañía no identificada como sector sensible acabar siéndolo porque está interconectada con otra que sí lo es?”, se pregunta Rivas-Vásquez. Y cita el conocido caso de un gran retailer americano que en 2013 sufrió un robo de más de cien millones de datos de clientes: los hackers no atacaron directamente sus sistemas, sino que se colaron aprovechando una conexión de su proveedor de refrigeración con los sistemas del retailer para comprobar la temperatura de las tiendas. Algunos estudios apuntan que hasta el 80% de las brechas de ciberseguridad se originan en la cadena de suministro. De ahí la importancia de tener una óptica 360 grados.

Las plantas eléctricas son uno de los objetivos de los ciberataques

Ésa es la visión que van aplicando los países punteros en temas de ciberseguridad. Y es que solo con una visión integral se pueden afrontar con garantías de éxito los problemas que puedan surgir tanto en el mundo físico como en el ciberespacio. En la comparativa internacional, España sale muy bien en la foto: ocupa el puesto 19 en el Global Cybersecurity Index 2017 elaborado por International Telecommunication Union (ITU), organismo especializado en telecomunicaciones de la ONU, y es novena en el ranking de Europa. El índice mide el compromiso de los países con la Ciberseguridad y analiza 193 países que participaron en la encuesta.

No hay que olvidar que el ciberespacio se ha convertido en un nuevo campo de batalla en el que, además de unos hackers cada vez más profesionalizados y organizados, también hay que luchar contra Estados que han visto que los ciberataques son más baratos, masivos, anónimos y efectivos que las luchas militares de los siglos pasados. “Estoy absolutamente convencido de que, a diferencia de las grandes guerras del pasado, que se iniciaban con bombardeos aéreos o artillería, la próxima guerra empezará con un ciberataque masivo para destruir la capacidad militar de ese país y paralizar sus infraestructuras básicas como la electricidad”, decía hace unas semanas el secretario general de la ONU, Antonio Guterres. Naciones Unidas lleva un tiempo reclamando un protocolo global para minimizar el impacto de este nuevo tipo de guerras entre los ciudadanos.

¿Quién supervisa los riesgos?

La vigilancia y protección de las llamadas infraestructuras críticas o sectores sensibles involucra en España a varios organismos con competencias intersectoriales, sectoriales y autonómicas.  La coordinación entre todos es clave.  Y su estructura depende del tipo de sector u operador.

El coordinador global

  • Consejo de Seguridad Nacional. El máximo organismo del Estado en materia de seguridad nacional. Él es que establece todos los mecanismos necesarios para la coordinación de las actuaciones de las autoridades competentes. También es el punto de contacto nacional encargado de garantizar la cooperación transfronteriza de las autoridades competentes de otros Estados miembros de la UE, así como con el grupo de cooperación y la red de CSIRT, acrónimo de Computer Security Incident Response Team.

Operadores de servicios esenciales catalogados además como críticos

  • Centro Nacional de Protección de Infraestructuras y Ciberseguridad (CNPIC). Creado en 2007, depende de la Secretaría de Estado de Seguridad, del Ministerio de Interior. Es la autoridad supervisora competente para los que hayan sido designados como operadores críticos de los diferentes servicios esenciales. Impulsa, coordina y supervisa todas las políticas y actividades relacionadas con la protección de las infraestructuras críticas españolas y con la ciberseguridad. Dentro de la estructura orgánica del CNPIC se encuentra la OCC (Oficina de Coordinación Cibernética) que desempeña la coordinación técnica y la comunicación con los CERT (Computer Emergency Response Team) nacionales de referencia: CERTSI y CCN-CERT. Estos se ocupan de la resolución técnica de incidentes de ciberseguridad que puedan afectar a operadores privados de infraestructuras críticas (CERTSI) y operadores públicos (CCN-CERT).

Operadores de servicios esenciales pero no considerados críticos

  • Ministerio de la Presidencia. Sería como el CNPIC pero en este caso con la misión de supervisar la ciberseguridad en las administraciones territoriales.
  • Reguladores sectoriales. Supervisa a los operadores privados no calificados como críticos que operan en sectores sensibles. Por ejemplo, para el sector financiero y de sistemas de pagos y compensación sería la CNMV; para el energético, la CNMC. Y así sucesivamente
  • Centro Criptológico Nacional. Es el homólogo del CNPIC pero aplicado a las organizaciones del sector público que, aunque operan en servicios esenciales, no se han calificado como operadores críticos. Está adscrito al Centro Nacional de Inteligencia.

Proveedores de servicios digitales

Equipos de monitorización y respuesta a incidentes

  • CERTSI. Es el CERT de Seguridad e Industria. En su labor de CERT (Computer Emergency Response Team) presta servicio a los incidentes de ciberseguridad que notifican ciudadanos, empresas y operadores de infraestructuras críticas en España. Lo integra un equipo de personas dedicado a la implantación y gestión de medidas preventivas, reactivas y de gestión de la seguridad con el objetivo de mitigar el riesgo de ataques contra las redes y sistemas de la comunidad y ofrecer soluciones para la mitigación de cualquier incidente y sus efectos, en el menor tiempo posible. Monitoriza las redes para detectar posibles incidentes, difundir alertas sobre ellos y aportar soluciones para mitigar sus efectos. Es operado técnicamente por el INCIBE y opera bajo la coordinación del CNPIC e INCIBE.
  • Existen otros sub-CERT que deben coordinarse con el CERTSI:
    • CCN-CERT, del Centro Criptológico Nacional. Es la comunidad de referencia para las administraciones públicas.
    • INCIBE-CERT, del Instituto Nacional de Ciberseguridad de España (INCIBE). Las no incluidas en el capítulo anterior y también los proveedores de servicios digitales, ciudadanos y entidades de derecho privado. Está operado conjuntamente por el INCIBE y el CNPIC en todo lo referente a la gestión de incidentes que afectan a operadores críticos.
    • ESPDEF-CERT, del Mando Conjunto de Ciberdefensa. Coopera con los dos anteriores cuando así se requiere.