Un gran escudo contra atentados sobre sistemas vitales

Stuxnet. Ese es el nombre del gusano inform¨¢tico que sabote¨® durante meses las centrifugadoras de la planta de Natanz y puso en jaque el programa nuclear iran¨ª en 2010. En mayo del a?o pasado, Colonial Pipeline se vio obligada a interrumpir la actividad en uno de sus oleoductos, que transporta combustible de Texas a Nueva York, despu¨¦s de un ciberataque. La compa?¨ªa pag¨® cinco millones de d¨®lares en bitcoin, de los que una parte fue recuperada m¨¢s tarde por el FBI, para recobrar los datos robados. Estos dos ataques evidencian la importancia de proteger las infraestructuras cr¨ªticas de un pa¨ªs sobre las que se apoyan acciones b¨¢sicas que damos por sentadas, como encender la luz, llenar el dep¨®sito del coche o pagar con tarjeta.

Una infraestructura cr¨ªtica es aquella estrat¨¦gica¡ªlas instalaciones, redes, sistemas y equipos f¨ªsicos y tecnolog¨ªas de la informaci¨®n, sobre las que descansa la actividad de los servicios esenciales¡ª cuyo funcionamiento es indispensable. Y que, adem¨¢s, no permite alternativas y cuyo fallo tendr¨ªa un impacto grave en los servicios fundamentales a los que da soporte.

Se sabe qu¨¦ son, pero no cu¨¢les. Una infraestructura cr¨ªtica puede ser, por ejemplo, una central energ¨¦tica, un aeropuerto, un hospital o un sistema de suministro de agua, pero el listado de instalaciones concretas catalogadas como tal es secreto. ¡°Solo en Espa?a hay m¨¢s de 3.000 y est¨¢n en todos los sectores: financiero, administraci¨®n, TIC, qu¨ªmico, nuclear¡­¡±, dice Jos¨¦ Javier Mart¨ªnez Herr¨¢iz, director de la c¨¢tedra de ISDEFE de Ciberseguridad y profesor del ?rea de Computaci¨®n e Inteligencia Artificial de la Universidad de Alcal¨¢. La ley establece doce sectores estrat¨¦gicos entre los que, adem¨¢s de los mencionados, est¨¢n tambi¨¦n el transporte, la alimentaci¨®n y la salud, entre otros.

¡°La seguridad de las infraestructuras cr¨ªticas se aborda desde una perspectiva integral¡±, comentan fuentes del Centro Nacional para la Protecci¨®n de las Infraestructuras Cr¨ªticas (CNPIC) por correo electr¨®nico. ¡°Abarca desde la seguridad f¨ªsica, la seguridad corporativa, la seguridad interna o la seguridad de las redes y los sistemas de informaci¨®n y comunicaci¨®n de estas instalaciones¡±. El objetivo es optimizar su seguridad principalmente, dicen, contra agresiones deliberadas. ¡°Y, muy especialmente, contra ataques terroristas¡±.

Es precisamente la experiencia respecto a este tipo de amenazas lo que, a ojos de Manuel S¨¢nchez G¨®mez-Merelo, ha dado cierta ventaja a Espa?a a la hora de abordar su protecci¨®n. ¡°Por nuestra ¨¦poca en temas de terrorismo local, pero tambi¨¦n internacional, s¨ª tenemos que considerar que se ha hecho un trabajo excepcional durante los ¨²ltimos 30 a?os. Eso nos ha llevado a que nosotros ya tuvi¨¦ramos mucho avanzado¡±, cuenta este consultor internacional de Seguridad y director de programas de Protecci¨®n de Infraestructuras Cr¨ªticas en el Instituto General Guti¨¦rrez Mellado de la UNED.

Hoy en d¨ªa, dice F¨¦lix Arteaga, investigador del think tank Real Instituto Elcano, Espa?a est¨¢ m¨¢s avanzada en la media general en materia de regulaci¨®n, estrategia, planteamiento y pol¨ªticas de seguridad que otros pa¨ªses. ¡°Podemos considerar que hemos obtenido modelos de ¨¦xito que est¨¢n siendo exportados desde hace a?os. Fundamentalmente, como no podr¨ªa ser de otra forma, en nuestras relaciones en Latinoam¨¦rica¡±, dice por su parte S¨¢nchez.

En 2008, la UE promulg¨® una directiva sobre la identificaci¨®n y designaci¨®n de infraestructuras cr¨ªticas europeas y la evaluaci¨®n de la necesidad de mejorar su protecci¨®n. De aquel texto deriv¨® la Ley 8/2011 para su protecci¨®n y de esta, el propio CNPIC, dependiente del Ministerio del Interior y formado por miembros de las Fuerzas y Cuerpos de Seguridad del Estado. Uno de los objetivos principales de esta ley fue proporcionar una base, a trav¨¦s del establecimiento de medidas de protecci¨®n, para la coordinaci¨®n eficaz de la Administraci¨®n y los gestores o propietarios de estas infraestructuras para lograr una mayor seguridad.

Hasta el momento se han identificado alrededor de 250 de operadores cr¨ªticos, de acuerdo con las cifras facilitadas por el CNPIC. ¡°M¨¢s del 80% de las infraestructuras clasificadas como cr¨ªticas est¨¢n en manos de operadores privados¡±, comenta S¨¢nchez. La cooperaci¨®n entre segmentos de diferente titularidad resulta fundamental y el modelo establecido, de acuerdo con el experto, ha resultado exitoso. El CNPIC define ¡°el esp¨ªritu de colaboraci¨®n p¨²blico-privada, as¨ª como el de la p¨²blico-p¨²blica¡± como ¡°la piedra angular¡± del avance hasta el sistema actual, que califica de ¡°s¨®lido y de reconocido prestigio a todos los niveles¡±.

Los gestores de estas infraestructuras son los que han de identificar, clasificar y evaluar los riesgos antes de establecer los planes de seguridad y contingencia, que han de enmarcarse dentro de la pol¨ªtica de seguridad de cada sector y operador, definida por el CNPIC, cuenta S¨¢nchez. Luego se establece el plan de gesti¨®n del riesgo, dice, que es diferente para cada instalaci¨®n y en cada momento. Con todo esto se dise?a y se desarrolla el plan espec¨ªfico para cada instalaci¨®n cr¨ªtica del operador en cada sector. ¡°Esa es la base fundamental y son planes din¨¢micos. No se tienen en una estanter¨ªa o un ordenador porque lo dice la ley¡±.

Las infraestructuras cr¨ªticas necesitan escudarse frente a amenazas tanto en el mundo f¨ªsico, desde ofensivas deliberadas a cat¨¢strofes naturales, como en el digital. ¡°Quiz¨¢ s¨ª sea el ciberespacio un campo de actuaci¨®n en alza para perpetrar actividades criminales sobre los operadores cr¨ªticos¡±, dicen en el CNPIC. Sin embargo, recuerdan, el ataque a uno de estos actores no significa necesariamente un ataque a sus infraestructuras cr¨ªticas o estrat¨¦gicas.

Pero no hay duda de que la digitalizaci¨®n aumenta su exposici¨®n. ¡°La hiperconectividad de la sociedad, las tecnolog¨ªas disruptivas, en definitiva, la transformaci¨®n digital supone en algunos campos una mejora de la productividad, la eficiencia, reducci¨®n de costes y otras ventajas¡±, cuentan en el Centro. ¡°Pero, tambi¨¦n, por otra parte, descubren unas nuevas vulnerabilidades que intentan ser explotadas por grupos delictivos¡±. La exposici¨®n, comenta Mart¨ªnez, ser¨¢ todav¨ªa mayor con la llegada del 5G.

El mundo en ceros y unos ofrece a los atacantes una serie de ventajas estrat¨¦gicas frente a las acciones convencionales, como el anonimato, la deslocalizaci¨®n o una relaci¨®n coste-beneficio atractiva, entre otros aspectos. As¨ª que, las incidencias en este ¨¢mbito no son raras. ¡°Hay ataques diarios¡±, dice Mart¨ªnez, ¡°otra cosa es qu¨¦ tipo de atacante est¨¢ yendo contra ti. Que puede ser desde un descerebrado en su casa hasta grandes organizaciones¡±.

Detr¨¢s de este tipo de ciberofensivas, cuenta Rafael Pastor, director de la Escuela Inform¨¢tica de la UNED, ¡°hay un poco de todo¡±. Pueden esconder una motivaci¨®n terrorista, intereses del crimen organizado o el da?o de la reputaci¨®n de una instituci¨®n, entre otras. ¡°En ¨¢reas como la de la energ¨ªa, la motivaci¨®n es m¨¢s econ¨®mica. El espionaje industrial es lo que suele funcionar¡±, comenta.

¡°No se suele dar mucha publicidad porque es un tema delicado. Suele asustar a la gente¡±, se?ala Pastor. ¡°Normalmente suelen ser leves. No ha habido ¨²ltimamente ning¨²n caso de ciberataque [en Espa?a] que haya ocasionado un grave perjuicio de esas infraestructuras y por ende a los ciudadanos¡±. Lo que no quiere decir que no haya habido intentos.

El CNPIC asegura que abordar los desaf¨ªos referentes a los ciberataques ha supuesto ¡°una continua adaptaci¨®n del ordenamiento jur¨ªdico¡± para garantizar la seguridad en este contexto. Este tipo de amenazas se combaten, dicen, a trav¨¦s de Estrategias Nacionales, planes espec¨ªficos y otras acciones como la obligaci¨®n de los operadores cr¨ªticos y de servicios esenciales de establecer medidas de seguridad contra ellas. Estos deben incluirlas en su cat¨¢logo de riesgos sin olvidar ¡°aquellas amenazas que parecen ahora prehist¨®ricas pero que generan los escenarios m¨¢s desoladores¡±.

¡°La tendencia es a aumentar el n¨²mero de infraestructuras cr¨ªticas y el de los actores implicados en su protecci¨®n. No es un concepto est¨¢tico, sino que est¨¢ en evoluci¨®n¡±, relata Arteaga. Con la apertura y conexi¨®n del mundo f¨ªsico al digital, el per¨ªmetro a proteger es cada vez m¨¢s extenso. ¡°La protecci¨®n se ha ido ampliando desde los operadores de las infraestructuras a las entidades cr¨ªticas para proporcionar servicios digitales y a sus respectivas cadenas de suministro. No todos ellos tienen conciencia de los riesgos a los que se exponen ni adoptan las medidas que ahora se les exigen para reforzar la protecci¨®n y resiliencia de las infraestructuras y de los servicios que se prestan a trav¨¦s de ellas¡±.

En lo que a externalizaci¨®n de procesos, proveedores y otras funciones se refiere, el CNPIC apunta que es algo natural y que los operadores cr¨ªticos tienen un abanico amplio al que acudir en estos casos. Tambi¨¦n que los distintos planes de protecci¨®n PIC deben incluir los proveedores de los servicios m¨¢s importantes. Sin embargo, la correlaci¨®n entre esta situaci¨®n y la existencia de una vulnerabilidad a?adida es clara.

¡°Es aqu¨ª donde los operadores cr¨ªticos deben, una vez m¨¢s, realizar un esfuerzo y analizar las distintas alternativas que existen en el mercado, para seleccionar la m¨¢s adecuada y segura¡±, se?alan en el CNPIC. Adem¨¢s, a?aden, deben poner en marcha una gesti¨®n de riesgos apropiada para los proveedores y verificar la seguridad de los procesos que incorpora o los sistemas que adquiere. ¡°As¨ª como identificar cualquier otro escenario de riesgo, con el objetivo de gestionar esas nuevas vulnerabilidades¡±.

Asegurar cada vez m¨¢s sectores, de una manera m¨¢s profunda y con m¨¢s garant¨ªas supone un esfuerzo econ¨®mico para las empresas y la Administraci¨®n. ¡°No solo por lo que cuesta mantener las infraestructuras cr¨ªticas¡±, apunta Arteaga, ¡°sino por la falta de personal capacitado para ello¡±. Estos profesionales no abundan y los salarios espa?oles no son lo suficientemente competitivos. ¡°Y esto genera estr¨¦s en el sector privado y mucho m¨¢s en la Administraci¨®n, que ve c¨®mo no puede competir con los precios del mercado¡±.

La dependencia de la tecnolog¨ªa extranjera supone otro reto. ¡°Nuestra capacidad de investigaci¨®n, desarrollo e innovaci¨®n es muy limitada¡±, comenta el experto. El hecho de estar sujetos en gran parte a tecnolog¨ªas de protecci¨®n extranjeras, dice, genera cierta vulnerabilidad del sector. ¡°Sobre todo cuando contra estas infraestructuras cr¨ªticas act¨²an no ya, digamos, otras empresas o el crimen organizado, sino Estados con capacidad de ciberataques muy alta¡±.