Máxima alerta ante la amenaza cibernética rusa

Nadie sabe, a ciencia cierta, cuáles son, porque se trata de una lista de alto secreto por motivos de seguridad nacional y para mantener el bienestar de nuestra sociedad y nuestra economía. En España, como en otro muchos países, existe un catálogo de infraestructuras y empresas críticas que tienen que estar salvaguardadas a toda costa, tanto de un ataque físico como de un cibersabotaje, un arma de última generación en cualquier guerra y también en manos de redes de cibercriminales, pero en el mundo digital.

Si estas instalaciones fallan, o se interrumpe su funcionamiento, o se colapsan, o quedan inoperativas, no tenemos otra alternativa que las sustituya y, en el peor de los casos, podría poner en peligro nuestras vidas o causar graves daños económicos. Se intuye que en esta misteriosa lista encontraríamos desde centrales nucleares, entidades financieras, redes eléctricas y de gas, aeropuertos, ferrocarriles, embalses, redes de tratamiento de aguas, hasta centros de control de telecomunicaciones, laboratorios, industrias químicas, altas instituciones del Estado, hospitales y servicios de emergencia, por ejemplo.

Con la guerra de Ucrania el riesgo de que estas infraestructuras críticas sufran un ciberataque es real y existe, como consideran todas las fuentes consultadas por ABC. Incluso, la propia Oficina de Coordinación de Ciberseguridad (OCC), de la Secretaría de Estado de Seguridad, lo ha reconocido a este periódico: «Ante la actual coyuntura internacional —afirman fuentes de OCC—, así como la impredecibilidad de la evolución de la guerra en Ucrania, no se puede descartar una intensificación de los ciberataques contra los operadores críticos y los operadores de servicios esenciales en cualquier país de la comunidad internacional. El riesgo de sufrir un ciberataque no se puede eliminar completamente, por tanto, resulta necesario adoptar medidas preventivas como las tomadas por el Ministerio del Interior, e implementadas a través de la OCC, dirigidas a reforzar la ciberseguridad de los operadores críticos y los operadores de servicios esenciales».

Esta es una gran preocupación para los Gobiernos occidentales. Y ahí están las pruebas: El Banco Central Europeo advirtió a principios de febrero a las entidades financieras que extremaran sus medidas de vigilancia ante ciberataques. En nuestro país, el Centro Criptológico Nacional (CCN), dependiente del Centro Nacional de Inteligencia (CNI), envió una alerta a finales del mes pasado para que los funcionarios de todas las administraciones públicas -estatales, autonómicas y locales- apaguen diariamente sus ordenadores en remoto ante la posibilidad de que Rusia lance un ciberataque masivo. Los funcionarios y el personal de embajadas y consulados también tuvieron que cambiar sus contraseñas. Y hace poco más de una semana el Centro Nacional de Protección de Infraestructuras Críticas (CNPIC) recomendó a empresas estratégicas y con infraestructuras críticas que refuercen sus protocolos de ciberseguridad por los mismos motivos.

Cualquiera de esas instalaciones no está a salvo de sufrir un ciberataque. No sería la primera vez ni será la última. Quizás el caso más sonado en España sea el ataque informático que sufrió en 2020 el Servicio Público de Empleo Estatal (SEPE) y que dejó KO a este organismo. El pasado año otro ciberataque paralizó la compañía asturiana ASAC Comunicaciones, que ofrece servicios de almacenamiento en la nube y mantenimiento web. Esto provocó la caída de las web oficiales de varios ayuntamientos e instituciones públicas tan importantes como el Consejo de Seguridad Nuclear y el Tribunal de Cuentas.

Hasta los más grandes y fuertes sucumben. En 2020 un innovador sistema atacó al proveedor de software SolarWinds, que trabaja con miles de empresas de todo el mundo y que se vieron afectadas. Entre las víctimas se encontraban tecnológicas de primera línea como Microsoft, Cisco e Intel, y departamentos del Gobierno de EE.UU., como la propia Agencia de Infraestructura y Ciberseguridad (CISA), el Departamento de Seguridad Nacional (DHS), y la Administración Nacional de Seguridad Nuclear (NNSA). El año pasado un ataque de ransomware a los oleoductos de la compañía americana Colonial Pipeline desató el caos en la costa este de Estados Unidos durante varios días al dejar secas de combustible las gasolineras. «En Israel ha habido intentos de atacar sistemas de tratamiento de aguas para elevar los niveles de químicos y aditivos a niveles tóxicos para la población. En Europa del Este hemos visto ataques que han desestabilizado estaciones hidroeléctricas y fundiciones», comenta Eusebio Nieva, director técnico de Check Point Software para España y Portugal.

Entre los profesionales de la ciberseguridad esto no es nada nuevo. Los ciberataques ocurren a diario. «La mayoría se paran», asegura Nieva. «El aumento de la cibercriminalidad y de los ciberataques es una constante en los últimos años a nivel general. La inmensa mayoría de los ciberataques recibidos contra infraestructuras críticas y servicios esenciales no han obtenido los resultados esperados por sus autores», también aseguran desde la OCC. Pero algunos salen adelante. «Unos son de pequeño impacto, otros de mayor y algunos ni salen a la luz pública», afirma Miguel de Castro, ingeniero especialista en ciberseguridad y ciberinteligencia de la empresa americana CrowdStrike.

Aunque siempre en alerta, ahora con la guerra de Ucrania, las alarmas se han disparado. «Es de prever que en algún momento haya ataques indiscriminados que pueden ser muy destructivos. No se trata de robar información o provocar un problema económico, estamos hablando de una guerra, y entre Rusia y Occidente hay una guerra no declada. En Rusia hay redes cibercriminales de extorsión y robo de información que están incontroladas y algunas se han puesto del lado de su Gobierno, podían realizar un ataque de forma imprevista. Rusia tiene mucha gente dedicada a esto y lo lleva practicando hace muchos años. Tiene mucha información de cómo estamos por dentro, de cómo funcionan nuestras redes, y existe la preocupación de que lance un ciberataque a gran escala», afirma Erik de Pablo, miembro del panel de expertos de Centro de Ciberseguridad Industrial (CCI) y CEO de la empresa de ciberseguridad y auditoría de sistemas Rutilus. También lo sabe el ingeniero Miguel de Castro: «Rusia invierte mucho en sus fuerzas de ciberataques. Tiene redes cibercriminales muy potentes que están patrocinadas por su Gobierno». Los denomina grupos Estado-nación. Y existen en otros países. «Si atacan a una infraestructura crítica que da soporte a un sistema vital nos podemos quedar sin red eléctrica, sin telecomunicaciones, sin transacciones bancarias o sin poder movernos porque no está operativo un aeropuerto o el sistema ferroviario», explica De Castro.

La sospecha de que Rusia está detrás de muchos de los ciberataques a infraestructuras críticas y estratégicas, a servicios esenciales, es más que evidente para muchos expertos. Pero a veces es difícil de probar. «Vemos ataques de estos grupos Estado de Rusia que se vienen produciendo desde hace años. En Ucrania han realizado operaciones para obtener datos y credenciales de sistemas o interrupciones de sistemas informáticos en redes eléctricas», asegura De Castro. De hecho, este ingeniero de la ciberseguridad apunta un dato: «En mayo de 2021, María Zajárova, directora del Departamento de Información y Prensa del Ministerio de Asuntos Exteriores de la Federación de Rusia, comentaba que estaba en Rusia siguiendo planes y análisis para el caso de que sufrieran una desconexión del Swift, el sistema de intercambio bancario a nivel mundial», como así ha ocurrido. Varios bancos rusos han sido expulsados de Swift como sanción por la invasión de Ucrania.

Para estos expertos nada pasa desapercibido. Una conjetura más: «Existe la posibilidad de que Occidente desconecte a Rusia de internet. Lo llamativo es que el año pasado Rusia ya hizo ejercicios para esa posible desconexión», añade Erik de Pablo. De hecho, desde 2014 trabaja en una red propia: Runet.

«La ciberguerra lleva existiendo desde hace años en la sombra», asegura Enrique Serrano, Advisory Board de Cisoverso y fundador y CEO de Hackrocks. Bien lo saben en el mundo de la ciberseguridad. La pregunta es si estamos preparados para hacerle frente. «La seguridad al 100% no existe», afirma Serrano. «Las infraestructuras críticas son lugares muy protegidos con pocas comunicaciones hacia internet pero siempre existe la posibilidad de un ataque porque ha ocurrido. Sí, hay riesgo real, pero hay que ocuparse de ello y no preocuparse», considera Miguel de Castro. De hecho, recuerda que en 2017 el ataque del ransomware WannaCry obligó a un apagón en Telefónica, «pero no nos quedamos sin móvil ni sin internet porque estaban bien protegidos», afirma De Castro.

En esto España está más avanzada que países vecinos europeos. Somos «un país pionero en la implantación de un sistema nacional de protección de infraestructuras críticas (PIC)», consideran fuentes de OCC. Contamos con una ley específica para salvaguardar estas instalaciones desde el año 2011. De velar por ellas se encarga el Centro Nacional de Protección de Infraestructuras Críticas (CNPIC), que depende de la Secretaría de Estado de Seguridad. «Nos corresponde la identificación de estas infraestructuras, sus altas, bajas y modificaciones y determinar la criticidad de dichas infraestructuras, así como coordinar a los distintos actores implicados en la protección de estas en sus distintos niveles. El número exacto de estas infraestructuras no es público, debido a la sensibilidad de dicha información, ni es cerrado, puesto que en función del servicio esencial que se esté facilitando a través de cada una de estas infraestructuras y el impacto que pudiera tener su inutilización, una infraestructura crítica podría dejar de serlo si sus condiciones cambian, al igual que una infraestructura no crítica puede llegar a serlo bajo los mismos parámetros», explican fuentes de CNPIC.

Además, de este organismo, existen 54 Centros Centros de Respuesta ante Incidentes Tecnológicos (CERT), la Oficina de Coordinación de Ciberseguridad, el Centro Criptológico Nacional (CCN), dependiente del Centro Nacional de Inteligencia (CNI). «Somos el cuarto país europeo con el sector de la ciberseguridad más consolidado. Somos un referente con tantas instituciones dedicadas a la ciberseguridad. Hay países europeos que no tienen esto», asegura Enrique Serrano.

Estas infraestructuras deben cumplir una normativa de ciberseguridad muy exigente. «Existen unas condiciones especiales para las empresas que se consideren críticas. Están obligadas a informar si han detectado un ataque, o si lo han sufrido, deben cumplir con planes de protección muy específicos», indica Eusebio Nieva.

Incidentes gestionados en relación

con las infraestructuras críticas

Totales por año

2019

2017

2020

2018

818

885

861

722

2016

479

2015

Por tipo de incidente / 2020

En porcentaje

130

Contenido abusivo

0,7

Intento de intrusión

Recolección de información

0,3

Disponibilidad

Malware

Sistema vulnerable

40,4

6,0

5,2

40,8

0,7

Otros

Intrusión

1,5

Fraude

4,3

Incidentes gestionados por sector estratégico

En porcentaje del total de incidentes gestionados

Tecnologías de la información

y de la comunicación

3,4

Agua

3,6

Alimentación

Espacio

0,3

0,1

Sistema tributario financiero

Transporte

52,5

14,1

20,4

Energía

Industria química

2,1

Fuente: Ministerio del Interior / ABC

Incidentes gestionados

en relación con

las infraestructuras

críticas

Totales por año

2020

861

2017

2019

818

885

2018

722

2016

479

2015

130

Por tipo de incidente

2020

En porcentaje

Fraude

4,3

Intrusión

1,5

0,7

Otros

Sistema vulnerable

40,8

Recolección

de información

Contenido abusivo

5,2

0,7

6,0

Intento de intrusión

0,3

Disponibilidad

Malware

40,4

Incidentes gestionados

por sector estratégico

En porcentaje del total

de incidentes gestionados

Tecnologías

información y

comunicación

3,4

Transporte

20,4

Energía

14,1

Industria química

2,1

Espacio

0,3

Administración

0,5

Industria nuclear

2,6

Agua

3,6

Alimentación

0,1

Sistema tributario

financiero

52,5

Fuente: Ministerio del Interior

ABC

El sistema nacional para proteger estas infraestructuras también se asienta sobre otro pilar: «La cooperación pública-privada», dicen desde OCC, entre administraciones y empresas. «Y funciona bien. Colaboramos empresas y administraciones prestándonos apoyos y diseñando nuevas herramientas. Nuestro país está bien posicionado, se han desarrollado muchas empresas de forma temprana en ciberseguridad que ya tienen experiencia y capacidades. Aunque a la hora de defender infraestructuras críticas la superficie a cubrir es gigantesca», estima José Rosell, socio director de S2 Grupo, una empresa española de ciberseguridad. «La comunicación entre sectores es fundamental, porque el mismo malware que llega a un banco va a llegar a los demás», comenta Serrano.

Los expertos también consideran que hace falta concienciar a la ciudadanía. «Un ciberataque se puede cargar un suministro eléctrico a través de un administrativo de una compañía», argumenta Rosell. Y es que «la mayor parte de los ciberataques entran por el correo electrónico. Solo con abrir un fichero adjunto en un email puedes comprometer a una compañía o a una infraestructura vital. Por muchas herramientas de ciberseguridad que tengas, al final es el humano el que falla», señala Enrique Serrano. «Romper una contraseña de 8 o 10 caracteres de letras mayúsculas y minúsculas se tarda muy pocas horas», dice Rosell. También hace falta talento. «Hay puestos de ciberseguridad que no se están cubriendo, por tanto esto nos hace más vulnerables. Se necesitan dos millones de profesionales en ciberseguridad a nivel mundial. En España, 83.000», apunta Enrique Serrano.

Con una amenaza tan real de un ciberataque a las infraestructuras vitales, también se trabaja en nuestra capacidad de resilencia. «Lo que se intenta es que estos ataques no nos destruyan, que nuestras infraestructuras no dejen de funcionar y que , si somos atacados, seamos capaces de levantarnos», dice Erik de Pablo. Ojalá no tengamos que verlo ni sufrirlo.