Los ciberataques a servicios críticos como las centrales nucleares aumentaron un 245% en España entre 2011 y 2012 y pueden comprometer la seguridad de un país
El pasado 7 de enero, dos encapuchados armados con metralletas irrumpieron en la sede del semanario satírico francés Charlie Hebdo y acabaron con la vida de 12 personas. Tanto las reacciones de rechazo como la implementación de protocolos de seguridad fueron inmediatas. España elevó al 3 su nivel de alerta terrorista, que además de la movilización de unidades especiales de intervención y reserva y el control de zonas de afluencia masiva de personas, incluye la activación del Equipo de Respuesta ante Emergencias Informáticas de Seguridad e Industria (CERT, por sus siglas en inglés).
El terrorismo ya no se limita a las bombas y metralletas, y no solo las fotos privadas de las estrellas de Hollywood son vulnerables a los ciberataques. Servicios críticos como la gestión del tráfico y la industria nuclear son controlados mediante sistemas informáticos susceptibles de ser comprometidos. Un ataque a cualquiera de ellos podría poner en peligro la seguridad de un país y generar "una pérdida de vidas", según el consultor de seguridad de IOActive, Rubén Santamarta.
El último informe disponible del CERT del Centro Criptológico Nacional, publicado en 2012, revela que los incidentes calificados como de "riesgo crítico" de los servicios gestionados por esta entidad aumentaron de 94 en 2011 a 231 el año siguiente. Esta cifra supone un crecimiento de más del 245%, aunque resulta imposible discernir cuáles son casos directos de ciberterrorismo, pues el informe no distingue entre este supuesto y los casos de robo de información, fraude y la entrada de códigos dañinos.
Hasta ahora, en España "se han producido ataques de baja intensidad que han sido repelidos sin grandes problemas", explica el teniente coronel de la Jefatura de Información de la Guardia Civil, Luis Fernando Hernández. Sin embargo, considera que "ya no es una amenaza latente sino real".
Aunque de momento no se ha producido ciberterrorismo con grandes consecuencias, el director del think tank Thiber, Enrique Fojón, cree que "en los próximos dos años se verán muchos ataques a infraestructuras críticas". Este experto recuerda cómo en 2012 el entonces secretario de Defensa de Estados Unidos, Leon Panetta, advirtió de que ese país podía sufrir un "Pearl Harbour cibernético" y aseguró que ya se estaban produciendo ataques con éxito a sistemas de control de plantas eléctricas, de agua y en sistemas de transporte como el ferroviario.
Uno de ellos podría afectar incluso tráfico aéreo. El año pasado el propio Santamarta, hizo público en la conferencia de ciberseguridad Black Hat, que había sido capaz controlar diferentes servicios por satélite y confundir a los sistemas de navegación de los aviones. El investigador explica: "Los sistemas de wifi de pasajeros o los servicios de entretenimiento pueden dar acceso al satélite que suministra información al piloto".
Aunque Santamarta asegura que "no se puede llegar a controlar un avión porque el piloto es la pieza más importante y si algo pasa, se da cuenta", sí cree que es posible "confundirle y hacerle pensar que está en una zona en la que no está o que crea que la situación en torno al avión es diferente a la real". El investigador está convencido de que en el futuro "los ataques ciberterroristas serán más frecuentes".
Falta de información
A pesar de que la amenaza es real, los detalles sobre los ataques raramente trascienden. "Nadie dice nada cuando sufre un ciberataque", explica el investigador de Computer Security Lab de la Universidad Carlos III de Madrid (España), Juan Tapiador. El experto considera que los organismos mantienen ocultos los ataques por temor a dañar su imagen o para no exponer sus vulnerabilidades. En este sentido, Fojón, explica: "Si una entidad financiera importante sufre un ataque y se hace público, al día siguiente se desplomará en la bolsa".
Aunque los datos sean difusos, sí queda claro que el ciberterrorismo y el uso de la red para actividades ilícitas es una preocupación creciente. Solo en España, el número de equipos CERT ha pasado de dos en 2006 a 16 en 2014, según datos de la Agencia de la Unión Europea para la Seguridad de la Red y la Información (ENISA). Además, el Gobierno de España ha incluido la ciberseguridad como una de las prioridades del Anteproyecto de Ley Orgánica de Seguridad Nacional que pretende establecer estrategias de coordinación de los cuerpos de seguridad ante amenazas que puedan "golpear los cimientos del Estado de Derecho y poner en riesgo la libertad y el bienestar de los ciudadanos", según se señala desde La Moncloa.
En España existen 3.600 infraestructuras consideradas críticas y el 85% están gestionadas por empresas privadas, como por ejemplo la distribución eléctrica, según datos de Thiber. El problema es que "muchas eligen la opción más barata para defenderse", explica Tapiador. Hasta ahora las empresas "utilizaban redes aisladas con sistemas informáticos propios". Al pasar de sistemas propios de gestión a sistemas populares como Windows "han abierto una brecha de seguridad", añade.
No sólo la popularización de los sistemas de software ha generado fallos de seguridad. Los propios componentes de los sistemas informáticos pueden abrir puertas a las vulnerabilidades. Estas son, precisamente, de las que se valió Santamarta para acceder al control de servicios aeronáuticos, gracias a un mal diseño del firmware de los satélites.
Este término, a medio camino entre el hardware y el software, define los elementos físicos que gestionan elementos informáticos, como serían el panel de control de una lavadora y el mando a distancia de la televisión. Una brecha de seguridad en el futuro puede venir de la fabricación de estos sistemas. "La cadena de producción es uno de los puntos débiles ya que muchas piezas vienen desde China, Rusia y EEUU y no se sabe exactamente qué chips llevan dentro", explica Santamarta.
Sin embargo, son las conocidas como Amenazas Persistentes Avanzadas (APT, por sus siglas en inglés), las que serán más peligrosas en el futuro. Estos ataques buscan un objetivo concreto y se infiltran en los sistemas para robar información o introducir código dañino. "Una APT llega de forma anónima y subrepticia", explica el teniente coronel de la Guardia Civil, quien califica este riesgo "como el verdadero caballo de batalla contra el ciberterrorismo".
Estas amenazas ya no forman parte de historias de ciencia ficción o de películas al estilo de Jungla de Cristal, se han convertido en una posibilidad tan real como la de irrumpir en la redacción de un diario a punta de metralleta. Los grupos terroristas han encontrado en la red un espacio idóneo para atentar contra servicios estratégicos. De la pericia de los equipos de seguridad dependerá que no lo consigan.