El 7 de marzo de 2011, el español David López Paz se plantó en la RootedCON con un hallazgo impresionante: había encontrado un afuste de misiles, lo había hackeado y había podido cambiar las coordenadas a las que se disparaba esos misiles. (Si quieres más detalles, mírate esta slide, especialmente la diapositiva 42.)
Para lograr esto, López Paz se tiró una cantidad de tiempo indeterminada escaneando servidores vulnerables en todo internet. Su investigación demostró que, en el desarrollo de la ciberguerra, el hacking puede servir para hacerte con las armas de tu enemigo sin haberte gastado ni el 1% de su dinero. Y todos los países del mundo son vulnerables a este tipo de prácticas. España, por supuesto, también.
Los ataques se duplican en apenas tres años
Nuestro país no es ajeno a la ciberguerra que hay en todo el mundo. En el informe Ciberamenazas y tendencias 2020, elaborado por el CCN-CERT, queda constancia de cómo los ataques críticos a España han ido creciendo de manera exponencial en los últimos años:
Dentro de esos ataques, además, observamos un aumento en su gravedad: los ataques críticos, muy altos y altos crecen, mientras que los medios y bajos van perdiendo protagonismo:
¿Quién nos ataca? Estados y cibermercenarios
¿Quién puede querer ciberatacar a un país como España? El CCN-CERT identifica hasta cinco tipo de perfiles interesados en ejecutar ataques geopolíticos hacia nuestro país:
LOS QUE ATACAN A ESPAÑA 1.- Estados y cibermercenarios. Los más peligrosos. Suyos son los ataques de mayor gravedad y riesgo, acudiendo tanto al ciberespionaje como a las acciones híbridas, la interrupción de servicios e incluso la manipulación de sistemas. 2.- Ciberdelincuentes. Similar al grupo anterior, aunque sin motivaciones necesariamente geopolíticas. Eso sí, su marco de actuación y delitos, aunque ligeramente menos grave, es mucho más numeroso. 3.- Ciberterroristas. Por suerte, según el CCN-CERT, todavía no representan un altísimo peligro, limitando sus acciones al sabotaje. 4.- Hacktivistas. Más peligrosos que los ciberterroristas, ya que también recurren a la interrupción de servicios, a la manipulación y al robo de información. 5.- Insiders (personal interno). Sin intenciones necesariamente malas, sus errores conllevan, sobre todo, la interrupción de servicios y el robo de información.
Conviene detenernos en un tipo de atacante concreto: los grupos de ciberdelincuentes generalmente asociados a otros estados. El CCN-CERT identifica en su informe a los siete más activos durante 2019 a la hora de atacar a España:
¿Qué formas de ataque utilizan?
A la hora de atacar, el informe habla de varios métodos:
Ransomware
Botnets
Código dañino
Ataques a sistemas de acceso remoto
Ataques web
Ingeniería social
Ataques contra la cadena de suministro
Ataques contra sistemas ciberfísicos
De todos ellos, las intrusiones de malware y el código dañino suelen estar a la cabeza:
Sin embargo, fijémonos especialmente en una tendencia al alza: las redes de bots. Según el estudio Botnet Threat Report, de Spamhaus Malware Labs, este método de ataque creció un 71,5% en 2019. El listado de las familias de botnets más activas en todo el mundo dan buena cuenta de este crecimiento:
Lo que se avecina: ataques a farmacéuticas, laboratorios, dispositivos…
En el informe del CCN-CERT también encontramos algunas de las tendencias que el organismo ve de cara al futuro inmediato de 2020. En dichas previsiones apunta a las farmacéuticas y los laboratorios de investigación como las mayores víctimas de los ciberataques geopolíticos que va a sufrir España. Tampoco hay que olvidarse de las intrusiones en redes domésticas, dispositivos conectados o herramientas de teletrabajo.
El panorama, por tanto, parece claro. Ningún país del mundo escapa a la ciberguerra sucia que se está librando entre los estados, y España no es ninguna excepción. Los datos demuestran la existencia de ciberataques geopolíticos hacia nuestro país. Dentro de unos años veremos si estábamos realmente preparados para ellos… o si habrá llegado la hora de lamentarse.
Jueves, 5 de marzo de 2020. 19 horas. Al escenario de la RootedCON se sube Gonzalo J. Carracedo, consultor de ciberseguridad de la empresa española Tarlogic. Tiene un bombazo que dar: tras una larga investigación, su empresa ha descubierto que más de 13 millones de contadores de luz inteligentes que hay en España tienen una grave vulnerabilidad que puede dejar un barrio entero totalmente a oscuras. Y en apenas unos minutos.
¿Cómo podía ser esto? Investigando, Carracedo y su equipo se dieron cuenta de que cerca de la mitad de los contadores inteligentes que hay en España tenían un sistema de acceso al control con contraseñas genéricas y fácilmente descifrables. Además, los cables eléctricos estaban transmitiendo una información que no estaba cifrada al 100%.
Partiendo de esta información, Tarlogic diseñó un pequeño laboratorio en un entorno seguro y se propuso provocar cortes en varios contadores de este tipo mediante una táctica ensayada: en primer lugar, romper las contraseñas y acceder al control de los dispositivos; en segundo, hacer que el suministro se apagase y encendiese sin parar hasta que se produjese un corte espontáneo. Javier Rodríguez, miembro también de la empresa, nos explica el funcionamiento con una comparación sencilla: «Cuando apagas y enciendes muchas veces una bombilla, puede llegar a fundirse. Pues aquí sucede lo mismo: forzamos la infraestructura de la red eléctrica para provocar el corte». Dicho y hecho: en este vídeo puedes ver el experimento a pequeña escala:
«Puedes dejar sin luz a un barrio entero«, nos reconoce Javier Rodríguez en el capítulo 6 de El Enemigo Anónimo. De hecho, la empresa se encargó de notificar esta brecha de seguridad a las energéticas españolas aludidas. Si quieres ver la charla entera de Carracedo, la tienes aquí abajo.
Carracedo no es el primer español que consigue vulnerar la seguridad informática del sistema eléctrico español. Nueve años antes, en marzo de 2011, Rubén Santamarta se propuso echar abajo el sistema eléctrico español mediante otra táctica: acceder a los Controladores Lógicos Programables que dirigen el sistema de la red eléctrica española y cambiar sus parámetros de actuación. Hacía cambios pequeños e intercalados en el tiempo para que no se notasen diferencias bruscas, pero poco a poco, sin que nadie se diese cuenta, iba debilitando el suministro hasta hacerse con el control total. Si quieres, puedes ver su charla aquí.
Sí, en España ha habido ataques a infraestructuras críticas
Los que acabamos de contar son dos ejemplos realizados por expertos que no pretenden tirar abajo nuestro sistema eléctrico, sino mostrar sus debilidades para que sean corregidas. Pero, ¿ha pasado alguna vez lo mismo… con intenciones maliciosas? ¿Ha perpetrado alguien ataques contra infraestructuras críticas españolas… y lo ha conseguido? Lo cierto es que sí.
Al menos así lo asegura Román Ramírez: «En España ha habido intentos de ataques a infraestructuras críticas, y en algunos casos ha habido ataques exitosos. Esto no se comenta en abierto ni se pueden identificar los casos porque te metes en un problema muy gordo pero haberlos los ha habido. Yo he visto en directo cómo se entra a una infraestructura crítica donde puedes hacer determinadas cosas».
Esta teoría la confirma el periodista Manuel Ángel Méndez, de El Confidencial, que asegura que, «fuentes del CNI reconocieron que había habido intentos de penetración de la red eléctrica en España. No es una cuestión de si va a ocurrir, es una cuestión de que ya ha ocurrido, está ocurriendo y va a ocurrir más».
Estos hechos no son precisamente desconocidos para el Gobierno español. El 7 de enero de 2019, el Ministerio del Interior adjudicó a Eulen un contrato de 318.991 euros para reforzar el cuidado de las infraestructuras críticas españolas, ya que, como reconocía el propio Centro Nacional de Protección de Infraestructuras y Ciberseguridad (CNPIC), «el crecimiento de incidentes de ciberseguridad con impacto en los operadores críticos y los servicios esenciales (…) requiere de una potenciación y continuidad que permita operar las 24 horas del día, los 7 días de la semana y los 365 días del año». Este tipo de labores «no puede prestarse directamente por el CNPIC ni por las Direcciones Generales de la Policía y Guardia Civil, al carecer de las capacidades descritas para el tratamiento y la gestión de la ciberseguridad».
España, preocupada por posibles ciberataques
España, al igual que la mayoría de países de todo el mundo, tiene motivos de sobra para preocuparse por la seguridad de infraestructuras críticas que gestionan suministros como el de la luz o el del agua. En nuestro país, de hecho, incluso tenemos cifras que avalan dichos motivos.
Según el Informe de Seguridad Nacional, España sufrió 89 incidentes efectivos (es decir, que realmente comprometieron la seguridad física en los sectores estratégicos) en 2019, frente a los 22 registrados en 2018 y los 54 del año 2017.
Mirando una perspectiva mucho más amplia, el Estudio sobre la Cibercriminalidad en España, editado por el Incibe, muestra unos datos mucho más peligrosos, con miles de ciberataques dirigidos hacia nuestras infraestructuras críticas.
A nivel gubernamental, los posibles ataques a infraestructuras críticas preocupan y mucho. De hecho, la Estrategia de Seguridad Nacional, elaborada en 2017, ya reconocía este tipo de operaciones como una de las que más puede comprometer la seguridad de nuestro país.
El tema, evidentemente, también preocupa a las diversas empresas. El Cybersecurity Snapshot Global, realizado por Isaca, preguntó a diversos profesionales de infraestructuras críticas qué posibilidades creían que tenía España de sufrir un incidente en el año siguiente. Los datos hablan por sí solo: apenas el 15% aseguró que dicha posibilidad era baja.
Lo que inquieta a todos los países del mundo
Como decíamos, España es un país con motivos para preocuparse, pero no es la excepción, ni mucho menos, sino más bien la regla. «En el mundo cíber hay dos cosas que se temen más que nada: un ’11 de septiembre cibernético’ y un ‘cíber Pearl Harbor’, nos cuenta Andrea G. Rodríguez. «Imaginaos hasta qué punto son vulnerables y débiles».
El miedo a nivel mundial también viene respaldado por las cifras. El Global Risk Report 2020 del Foro Económico Mundial revela que el 76,1% de las empresas cree que el riesgo de ataques contra este tipo de entornos aumentará en 2020, situándose por delante incluso de los ataques que buscan robar dinero o datos.
¿Y cuáles son los sectores de actividad más afectados por posibles ciberataques a infraestructuras críticas? Un informe de la OECD y otro de Hornet Security dan diversos ránkings, aunque tampoco son muy diferentes entre ellos. Ambos sitúan a la cabeza de estos peligros al sector energético.
Para Ofelia Tejerina, «la guerra está en la red. Y no es una guerra global declarada, pero se están librando batallas muy potentes y hay riesgos muy graves con infraestructuras críticas». A este tipo de infraestructuras Andrea G. Rodríguez les añade otro problema: «Muchas están interconectadas, con lo que un ciberataque a una se puede llegar a propagar a otras«. La OECD avala esta información: el 36% de las infraestructuras de sus países son interdependientes de otras, un porcentaje lo suficientemente significativo como para tenerlo en cuenta.
Con todo ello, el resultado es que la seguridad informática de las infraestructuras críticas es un gran foco de criminalidad, pero también de negocio, con un mercado que no para de crecer.
La joya de la corona: atacar a EEUU
Si hay un país especialmente colocado en el centro de la diana, ese quizá sea Estados Unidos. No solo por las amenazas ajenas, sino también por la propia sensación interna. Una sensación, no nos vamos a engañar, provocada también por la incesante participación de su gobierno en distintos ataques (su papel esencial en Stuxnet parece fuera de toda duda).
Sea como fuere, en diciembre del año pasado, el President’s National Infrastructure Advisory Council (NIAC), formado por altos ejecutivos de grandes empresas y organismos públicos, instó al presidente Trump a mejorar su estrategia «para prevenir las terribles consecuencias de un ciberataque catastrófico en las infraestructuras energéticas, de comunicaciones y financieras», ya que «las empresas estadounidenses se encuentran en una guerra cibernética que no están preparadas para ganar contra los estados nacionales que intentan interrumpir o destruir nuestra infraestructura crítica».
«Las empresas estadounidenses se encuentran en una guerra cibernética que no están preparadas para ganar»
La preocupación es tal que, desde 1970, el Gobierno incluye en un completo estudio la totalidad de ataques que han sufrido sus infraestructuras críticas, así como su letalidad.
Entre los sectores más afectados, los habituales: los servicios de salud pública y los financieros son los que han sufrido más ataques en sus infraestructuras.
Ataques: «Los ha habido, los hay y los habrá»
La protección de las infraestructuras críticas no es sencilla, ya que, como asegura Roman Ramírez, «se soporta en instalaciones que a lo mejor tienen un ciclo de vida de 30 años y con dispositivos que estiras hasta los 30-40 años. Y cambiar un cacharro está muy bien, pero cuando has comprado 20 millones de cacharros, los tienes distribuidos por todo el país y encuentras vulnerabilidades, ¿eso quién lo cambia? ¿Los ciudadanos van a querer pagar 30 euros más en la factura eléctrica para que las empresas los reemplacen?».
¿Hay alguna noticia positiva en este sentido? Sí. Daniel Creus, analista de malware de Kaspersky, recuerda que «hemos conseguido tener cada vez más conocimiento sobre los adversarios, y eso significa que no solamente podemos saber los procedimientos que utilizan para atacar, sino que además podemos intuir si somos objetivos o no en función de movimientos geopolíticos o puros intereses estratégicos».
«No hay que negar la evidencia: tenemos una situación de riesgo. ¿Ataques? Los hay, los ha habido y los habrá. Y esperemos que no haya nada grave ni dramático»
Román Ramírez (RootedCON)
En cualquier caso, «es importante seguir avanzando en ciberseguridad de infraestructuras críticas para estar siempre a la última vanguardia y que no nos pille desprevenidos», nos cuenta David CarreroFernández-Baillo, cofunder y VP Sales de Stackscale. «Es realmente importante que España y Europa hagan un gran esfuerzo en temas de ciberseguridad porque esta es la materia con la que vamos a poder competir mucho más en el mundo».
Ahora bien, Román Ramírez recuerda que «lo que no hay que hacer es negar la evidencia: tenemos una situación de riesgo, que es que las infraestructuras se pueden atacar. ¿Ataques? Los hay, los ha habido y los habrá. Y esperemos que no haya nada grave ni dramático».