Samuel Linares es especialista en ciberseguridad industrial

Samuel Linares es director de Servicios de Ciberseguridad de Intermark Tecnologías, Experto Evaluador de la Comisión Europea, Experto CIIP (Protección de Infraestructuras Críticas de Información) de ENISA (Agencia Europea para la Seguridad de la Información y de las Redes) y gerente del Equipo de Seguridad M45 del Cluster TIC de Asturias. Con más de 18 años de experiencia en seguridad, integración de sistemas y gestión de proyectos multinacionales y multiculturales, ha sido el principal impulsor del concepto de "ciberseguridad industrial" en español, lo que le ha llevado a ser reconocido como uno de los mayores expertos iberoamericanos en este ambito y a participar como ponente, chairman y profesor en numerosos eventos en todo el mundo (España, Reino Unido, Bélgica, Qatar, México o Argentina, entre otros).

Últimamente se habla mucho de infraestructuras críticas, de su protección,... ¿qué son? ¿Es un concepto nuevo? ¿Podria ponernos un ejemplo?

La sociedad en la que vivimos se basa en el correcto funcionamiento de una serie de servicios esenciales (energía, agua, transporte, etc.) que utilizan un número determinado de infraestructuras (denominadas críticas) en el país e incluso, a veces, fuera de él (por ejemplo, los oleoductos o gaseoductos transnacionales).

Haciendo una analogía con el cuerpo humano, las infraestructuras críticas serían a nuestras naciones lo que los órganos vitales a nuestro cuerpo. SSin un correcto funcionamiento del corazón, los pulmones o el cerebro, entre otros órganos, nuestro organismo está abocado a la muerte, lo mismo que en un país será gravemente debilitado si su sistema energético, financiero, de telecomunicaciones o transporte se ve afectado por algún tipo de incidencia.

Por ello, prácticamente todos los países están tomando medidas para la adecuada protección de este tipo de infraestructuras, tanto en el mundo físico como en el ciberespacio. En nuestro país, la creación del CNPIC (Centro Nacional de Protección de Infraestructuras Críticas)hace unos años o la publicación de la Ley de Infraestructuras Críticas en 2011 como primeros pasos hacia un sistema de protección integral de este tipo de infraestructura, denota la importancia que este aspecto toma en cualquier gobierno en los últimos años.

Y aunque parezca una película de espías, ¿quién querría atacarlas y cómo afectaría a un país? ¿Qué objetivos y repercusiones puede tener un ataque de estas características?

Intencionadamente, las mismas personas, grupos terroristas o países que en el mundo físico llevan años (a veces siglos) intentando vulnerarlas. Si antes se pretendía bombardear las centrales eléctricas, medios de transporte, puentes o centrales de comunicaciones, hoy en día es mucho más accesible el intentar vulnerar esas mismas infraestructuras desde el ciberespacio. Todas estas personas, grupos y por supuesto Estados, tienen ya equipos de acción en este nuevo campo y en la prensa podemos incluso seguir algunas de las actividades más notorias como, por ejemplo, los ciberataques a las Bolsas de Oriente Medio o recientemente a infraestructuras eléctricas de Estados Unidos.

En ambos casos los objetivos son los mismos: afectar al funcionamiento de los servicios esenciales (a través de las infraestructuras críticas sobre los que se sustentan) de un país con el fin de debilitarlo. Las repercusiones pueden ir desde el corte del suministro eléctrico a una ciudad, la contaminación del agua potable de un valle, la apertura de las compuertas de una presa e inundación de un valle o, como en el caso del virus Stuxnet, la afectación total de una central nuclear y, por ende, de la carrera nuclear de un país (Irán).

¿Cómo son los ataques, con aviones, carros de combate y legiones de militares o con virus sileciosos y sin que se entere nadie?

La mayoría de los fatales eventos ya mencionados tienen en común la existencia de infraestructuras críticas que pueden ser dañadas, no funcionan correctamente o son mal gestionadas. Si los sistemas como cámaras de vigilancia, controles de acceso físico, líneas de comunicaciones, transporte o sanidad fueran resistentes a los eventos que puedan ser expuestos, las pérdidas humanas (que no hemos mencionado hasta ahora, pero existen) de las catástrofes serían mucho menores. Por supuesto han existido en el mundo desastres naturales, fallos humanos, sabotajes y terrorismo antes de la era de la información, pero las tecnologías de la información han traído un nuevo vector de amenaza. Hoy en día no es necesario estar físicamente cerca de una infraestructura para causarle daño. De hecho la mayoría de las infraestructuras críticas del mundo tienen sus sistemas de control accesibles rematamente mediante líneas de comunicación, incluso desde redes públicas como Internet. Años atrás existía una clara diferencia entre el mundo físico y el llamado mundo virtual que comúnmente (y de forma errónea) se asociaba a Internet y al world wide web, pero hoy existe una línea muy fina que separa estos dos mundos. Esta línea está compuesta de sistemas de hardware y de software que proporcionan los medios para gestionar y controlar los activos físicos que pueden tener impacto en el mundo real. Es obvio que estos sistemas de control gestionados remotamente se han convertido en un objetivo claro de cualquier atacante que quiera causar daño y por tanto se ha presentado la necesidad de su protección y prevención de ataques.

Últimamente se han oído nombres como Stuxnet, Flame, Gauss ¿qué hacían estos virus? ¿Pueden considerarse como un ejemplo de ataque a una infraestructura crítica? ¿Podemos hablar de que estamos ante un nuevo concepto de guerra?

Las Tecnologías de la Información y las Comunicaciones (TIC) desempeñan un papel fundamental en nuestra sociedad y economía. Como hemos comentado, la mayoría de los servicios esenciales, tanto públicos como privados, nuestros medios de comunicación, fuerzas de seguridad y, por supuesto, nuestro tejido empresarial depende para el normal desarrollo de su actividad de las TIC. Pero no es tan conocido que todos esos servicios esenciales y los propios activos TIC dependen a su vez en mayor medida de los Sistemas de Control Industrial (SCI). Son estos últimos lo que controlan los sistemas de seguridad física de los Centros de Proceso de Datos, las torres de refrigeración, los generadores eléctricos que proporcionan la energía necesaria o los sistemas de extinción de incendios, entre otros muchos aspectos.

Los SCI son la base de las principales infraestructuras críticas y servicios esenciales de nuestras naciones y, por tanto, su seguridad, su protección, recae finalmente en ellos. Esto ha hecho que los SCI se hayan convertido en objetivos de actos de ciberterrorismo, adversarios persistentes y adaptativos y, por qué no, de ciberguerra, lo que unido a la ausencia de seguridad como un requisito en su diseño, implantación y operación, ha supuesto el caldo de cultivo adecuado para la aparición de auténticas "ciberarmas" cuyo objetivo es explotar las vulnerabilidades existentes.

Nuestra sociedad y economía es por tanto vulnerable: Stuxnet, Diginotar, Duqu, Anonimous, Flame, Shamoo, las botnets o los ataques de denegación de servicio son términos y palabras que cada vez aparecen más en los medios de comunicación dando explicación a fugas de información, pérdidas de servicio, apagones y otras incidencias en nuestros servicios esenciales.

Mientras que en Estados Unidos el nivel de madurez en la protección y ciberseguridad de los SCI es muy alto, con numerosas iniciativas a nivel gubernamental, sectorial y corporativo, además de importantes presupuestos asignados a su desarrollo y protección, en Europa podríamos generalizar diciendo que estamos más de 5 años (probablemente 10) por detrás de Estados Unidos en éste ámbito.

En el marco de un mercado global, de mejora de la competitividad y de amenazas crecientes y cada vez más elaboradas, esta situación parece insostenible. Es necesario grandes cantidades de trabajo, planes, medidas y, por supuesto, recursos económicos para disminuir la distancia que nos separa de los países líderes en este ámbito (como Estados Unidos) y conseguir de forma existosa, como mínimo, igualar su nivel en la próxima década, ya que lamentablemente, el escenario de amenazas sí es común para todos nosotros.