Como Pedro por su casa

Dícese de la persona que se mueve con desenvoltura en un lugar que no les es propio.

Pues bien, al parecer, esto es lo que ha ocurrido en al menos una central nuclear francesa. En concreto en la central de Nogent-sur-Seine, donde un grupo de activistas de Greenpeace, se han infiltrado en las instalaciones y han conseguido subir hasta la cúpula de uno de los reactores, donde tenían intención de pintar una señal de peligro y así denunciar la falta de seguridad de las centrales nucleares francesas.

Hace unos días, en este mismo blog, publicaba el post ¿Están seguras nuestras infraestructuras críticas?, donde hacía la siguiente afirmación:

La protección física de las Infraestructuras Críticas, procedimientos y protocolos de actuación es algo con un largo recorrido, pero no lo es tanto la protección lógica y la seguridad de sus sistemas de comunicaciones.

todo ello, en el convencimiento de que, en una Infraestructura Crítica, como lo es una Central Nuclear, el apartado de Protección Física, sería un capítulo superado ampliamente. Está claro, me equivoqué!. A Greenpeace, no le ha hecho falta la sofisticación de Stuxnet para acceder al las instalaciones. Sí es cierto que no es lo mismo subirse a la cúpula de un edificio protegido, que acceder a los sistemas de control de la Central, pero el caso es igualmente de extrema gravedad.

Según el portavoz del Ministerio del Interior francés, la intervención de Greenpeace, habría "puesto en peligro la integridad de las instalaciones nucleares", pero como sería esto posible si según el Ejecutivo, existen "medidas excepcionales y dignas de las mejores películas de acción". Está claro que algo se les ha pasado por alto y tendrán que tomar medidas.

A finales de noviembre, la Comisión Europea presentó los primeros resultados sobre los test de stress, realizados a las centrales nucleares europeas, en los que ya apuntaban algunas líneas de mejora en los sistemas de seguridad. En concreto, respecto a España, apuntaba que "debe aumentar la fortaleza de las plantas nucleares frente a inundaciones, terremotos; así como mejorar la gestión de un accidente severo".

Estas pruebas de  stress, aunque voluntarias y motivadas por el accidente de Fukushima, a juicio del grupo parlamentario europeo Los Verdes, tenían un alcance limitado e insuficiente. El grupo parlamentario, realizó esta afirmación basándose en un estudio independiente, donde se analizan las especificaciones de la "European Nuclear Safety Regulators Group (ENSREG)", para las plantas nucleares europeas, realizadas en las pruebas de stress, donde se concluye que las pruebas son muy limitadas en cuanto a alcance y metodología, así como que son insuficientes para revelar las deficiencias respecto a una operatoria segura de las plantas.

Cierto es que la seguridad total no existe y menos si hablamos de una central nuclear, pero creo que alguna alguna reflexión habrá que hacer y después actuar en consecuencia.

¿Están debidamente protegidas nuestras Infraestructuras Críticas?

El pasado 8 de noviembre, una planta de filtración de aguas, cerca de Springfield, Illinois, sufría un colapso en una de sus bombas, motivado por un continuado apagado y encendido de la misma. Enseguida comenzó a sobrevolar sobre el caso el fantasma de Stuxnet y numerosos medios se hicieron eco de este presunto atentado.

Las primeras pesquisas sobre el incidente, apuntaban a un acceso no autorizado a los sistemas proveniente de una dirección IP situada en Rusia, según una filtración de un informe del Illinois Statewide Terrorism & Intelligence Center, aunque por otro lado, el portavoz del Departamento de Seguridad Interna, Peter Boogaard, manifestaba que tanto su departamento como el FBI, no tenían constancia de que dicho incidente hubiera sido causado por un ataque premeditado contra las instalaciones, y que sería preciso continuar con la investigación para obtener las conclusiones.

La noticia, en cualquier caso, y sin confirmarse el hecho de un ciberataque, volvió poner en entredicho la seguridad de los sistemas SCADA que controlan las Infraestructuras Críticas, tanto en EE.UU. como en el resto de paises.

Con posterioridad, hemos sabido que este incidente no se debió a un sabotaje por parte de piratas informáticos rusos, como se indicaba en el informe preliminar, sino que fue provocado por un contratista de la misma compañía, que estando de viaje por Rusia, accedió a los sistemas de forma remota. Aunque supongo que la investigación sigue aún en curso, lo que no ha trascendido, es el motivo por el que este contratista accedió al sistema, ni en que consistió dicho acceso para que provocara el fallo de la bomba.

La protección física de las Infraestructuras Críticas, procedimientos y protocolos de actuación es algo con un largo recorrido, pero no lo es tanto la protección lógica y la seguridad de sus sistemas de comunicaciones.

El 29 de abril de 2011, se publicaba en el B.O.E. la ley 8/2011, por la que se establecen las medidas para la protección de las Infraestructuras Críticas del Estado, como continuación a una serie de actuaciones emprendidas en 2007, donde se estableció el primer Plan Nacional de Protección de las Infraestructuras Críticas y la elaboración de un primer Catálogo Nacional de Infraestructuras Críticas, que identifica alrededor de 3.500 infraestructuras con esta consideración. En esta ley, en el Artículo 7 del Título II de las Disposiciones Generales, se establece la creación del Centro Nacional para la Protección de las Infraestructuras Críticas (CNPIC) como órgano ministerial encargado del impulso, la coordinación y supervisión de todas las actividades que tiene encomendadas la Secretaría de Estado de Seguridad en relación con la protección de las Infraestructuras Críticas en el territorio nacional.

Tras la lectura de texto que recoge la ley, en busca de referencias la protección lógica de las Infraestructuras, la única mención expresa que encuentro es respecto a la no diferenciación entre ataques físicos o ciberataques:

"...regular la protección de las infraestructuras críticas contra ataques deliberados de todo tipo (tanto de carácter físico como cibernético)..."

aunque por otro lado, si se mencionan las TIC, como elemento necesario para la gestión de las propias infraestructuras, adquiriendo carácter de Infraestructura Estratégica:

"Infraestructuras estratégicas: las instalaciones, redes, sistemas y equipos físicos y de tecnología de la información sobre las que descansa el funcionamiento de los servicios esenciales."

En la disposición final cuarta de dicha ley, se habilita al gobierno para que en el plazo de seis meses, realice el desarrollo reglamentario de la misma. Este reglamento sería publicado el 21 de mayo de 2011, en forma del Real Decreto 704/2011.

La Disposición que recoge el Decreto, establece una serie de planes a diferentes niveles:

• El Plan Nacional de Protección de las Infraestructuras Críticas
• Los Planes Estratégicos Sectoriales
• Los Planes de Seguridad del Operador
• Los Planes de Protección Específicos
• Los Planes de Apoyo Operativo

Cada uno de estos planes establecerá los criterios y directrices para asegurar la protección de las Infraestructuras.

Dado que el Decreto, solamente establece el reglamento, tampoco se encuentran referencias expresas a ataques de tipo cibernético. Cabe esperar, que en el desarrollo de cada uno de los planes, haya capítulos específicos sobre Seguridad Lógica, Ciberataques, etc., pero como estos planes tienen la consideración de Secretos Oficiales (como no podía ser de otra forma), daremos por hecho que existen.

En cualquier caso, cabría esperar que en la web del CNPIC, se encontrara algo más específico y extenso en lo que se refiere a Ciberseguridad, que lo que se muestra en el apartado del mismo nombre, donde tan solo aparecen las Guias SCADA del Centro Criptológico Nacional (CCN).

Desde que apareció Stuxnet, la seguridad de los sistemas SCADA está constantemente en el ojo del huracán. No es de extrañar que en la agenda del "European SCADA and Process Control System Security Summit" que se celebra esta semana en Roma, haya un panel específico, de como proteger los sistemas SCADA frente a Stuxnet o cualquiera de sus variantes, además de otros relacionados con la Ciberseguridad, análisis forenses de incidentes, etc.

Existen diversas empresas de seguridad, especializadas en ofrecer soluciones para la protección de Infraestructuras Críticas, como Raytheon , IMCI o Waterfall entre otras. Esta última ha sido contratada por Iberdrola para la Central Nuclear de Cofrentes en Valencia, para el suministro de un sistema de Gateway Unidireccional, para la transmisión segura de información y replicación de datos en tiempo real desde la central.

Ante la pregunta del encabezado de este post, la respuesta es NO, y hay varios informes; como el realizado por CSIS para McAfee en Abril de este año, (“In the Dark: Crucial Industries Confront Cyberattacks”) donde así se asegura. El citado informe revela un dato preocupante:

"La encuesta realizada a 200 ejecutivos de seguridad de IT en Infraestructuras Críticas de compañías eléctricas, realizado en 14 países, muestra que el 40% de estos ejecutivos cree que las vulnerabilidades de su industria se han incrementado y que alrededor del 30% creen que su compañía no está preparada para un ciberataque, y que más del 40% esperan un ataque cibernético importante en el próximo año".

¿Es posible una Ciberguerra?

En último Black Hat Europa que se ha celebrado en Barcelona este mes, una de las ponencias más esperadas fue la de Bruce Shneier; reputado criptógrafo y experto en seguridad; quien quitaba dramatismo a la posibilidad de una Ciberguerra, diciendo “Los gobiernos exageran sobre la Ciberguerra…”

No voy a poner en duda los comentarios y argumentos de tan reputada autoridad, pero si me voy a permitir hacer algunos propios, al respecto de este tema.

Si tratamos de traducir lo que significa Ciberguerra, sería algo así como una guerra que se libra en el Ciberespacio, y es sobre lo que podemos entender como Ciberguerra, de lo que quiero comentar.

Si atendemos al sentido de la palabra Ciberguerra, cuando se refiere a un enfrentamiento entre dos o varias naciones, lo primero que me viene a la cabeza es la historia de Stuxnet y las centrifugadoras de las centrales nucleares iraníes, que aunque no se ha acabado de aclarar la cuestión, parece que fue obra de Israel y Estados Unidos.

Cuando en un asunto como el del Stuxnet, aparecen estados por detrás, ¿eso es ciberguerra?, estrictamente yo no lo llamaría así, aunque habrá opiniones para todos los gustos. Yo lo catalogaría más próximo al ámbito del ciberespionaje o cibersabotaje, si se me permite.

Si atendemos al sentido de la palabra guerra, cuando se refiere a un enfrentamiento entre dos bandos (no estados o partes de él), y esos bandos, aunque definidos, no son concretos; es decir, no podemos concretar la identidad de uno de ellos o de ambos, llegamos al grupo de los Ciberataques (por mantener la terminología), que tampoco sería Ciberguerra, sino ataques puntuales con objetivos muy focalizados.

Realmente, si me abstraigo de consideraciones formales, y desde la perspectiva puramente emotiva, me atrevería a decir que ya estamos en una Ciberguerra, donde no sabemos quienes son nuestros enemigos, ni donde están, solo conocemos; y no siempre; sus motivaciones: robo, extorsión, desestabilización, espionaje, sabotaje, etc.

Si nos referimos a la posibilidad de una Ciberguerra, abstrayéndonos de quienes son las partes beligerantes y nos centramos en los efectos de la contienda, como impacto, alcance, perdurabilidad, etc., podemos concretar un poco más y analizar los riesgos de que esto ocurra, conjugando una serie de variables y datos más o menos objetivos.

Amplitud del objetivo

Muy pocos Ciberataques individuales, tienen la capacidad de crear una conmoción mundial, y más aún que esta pueda perdurar en el tiempo, más allá de unas pocas horas o días, afectando a infraestructuras civiles o militares de diferentes estados.

Hay que tener en cuenta además, que los sistemas informáticos críticos están protegidos ante eventualidades de este tipo; aunque esto no quiere decir que sean invulnerables; y que por lo general operan sobre redes privadas de difícil acceso.

Perdurabilidad

La mayoría de los ataques, se aprovechan de debilidades y fallos de seguridad no conocidos, en los Sistemas Operativos y Aplicaciones, los llamados "zero-day exploits". Habitualmente la respuesta de los fabricantes de software, es rápida y a través de los diferentes equipos CERT (Computer Emergency Response Team), se coordinan para dar una respuesta rápida y eficaz ante este tipo de incidentes, involucrando instituciones civiles y gubernamentales, como por ejemplo el US-CERT.

Ataques oportunistas

Aunque no hay constancia de que haya ocurrido nunca, se podría dar el caso que tras una catástrofe convencional, como podría ser el caso de Japón en estos momentos, se aprovechara la ocasión para realizar ataques a los puntos más débiles afectados por la catástrofe,  pero esto es poco probable que ocurra.

Conclusión

Por lo general, todas o casi todas las guerras a lo largo de la historia, aún cuando las motivaciones fueran diferentes, han tenido un componente común y este ha sido la territorialidad, con el objetivo de ocupar o mantener posiciones geoestratégicas, recursos naturales, etc. En el caso de una Ciberguerra, no es fácil de cubrir este tipo de objetivos, si no va acompañada del componente físico.

En definitiva, la posibilidad de una guerra exclusivamente “cibernética”, por llamarlo de alguna forma, no es muy probable, pero el uso de Ciberataques como complemento de ataques en el plano físico, no solo será habitual sino que de facto, lo viene siendo desde hace mucho tiempo, en sus diferentes formas. Solo por poner algunos ejemplos, se han utilizado estos métodos combinados, durante la guerra de Irak en 2003 y en el conflicto de Georgia y Ossetia del sur en 2008.