El 17 de diciembre de 2016 una parte de Ucrania se quedó a oscuras. Su capital, Kiev, sufrió un ciberataque que paralizó el 20% de la red eléctrica. El pasado mes de mayo, el ataque WannaCry bloqueó los soportes informáticos de empresas e instituciones de 150 países. Y la lista de ataques a infraestucturas estratégicas no para de crecer. La industria 4.0 y la proliferación de Internet del Cosas (IoT) han aumentado la agilidad de las organizaciones y mejorado la calidad de vida de las personas, pero la hiperconectividad también tiene un lado oscuro. "Siempre que tengas un ordenador y una conexión a internet, alguien te va a hackear", advertía el experto en ciberseguridad Avi Biran ya en 2015.

"Cuando hablamos de industria 4.0 tenemos que pensar en una mayor integración de la tecnología durante los diferentes procesos. Esto hace que la superficie de ataque a empresas del sector industrial se extienda al ámbito de internet", explica el responsable de ciberseguridad industrial de S2 Grupo, Óscar Navarro. Más allá del robo de información y el espionaje, los ataques a infraestructuras críticas como las redes de transporte y las plantas energéticas pueden tener consecuencias fatales. Con el objetivo de entender cómo se producen estos ataques, quién hay detrás y cómo pueden evitarse, la compañía creó un honeypot, un sistema trampa que atrae la atención de los hackers y que permite analizar los riesgos a los que está expuesta una infraestructura. S2 Grupo implementó este señuelo en una estación depuradora de aguas residuales, y en sólo dos años recibió más de 5.500 ataques de diferente intensidad.

Esta es la principal conclusión de la iniciativa, que acaba de publicar sus resultados en el I informe del proyecto de investigación iHoney. La cifra demuestra el enorme interés de los hackers por atacar este tipo de infraestructuras críticas, que son cruciales para que las ciudades modernas funcionen. Según la Ley 8/2011 de Protección de Infraestructuras Críticas, dichas instalaciones están presentes en 12 sectores y hacen referencia a actividades como el funcionamiento de una central nuclear, de las presas de agua, del transporte y de las transacciones bancarias. ¿Qué pasaría si se desactiva un servicio de distribución de agua o se provocara la explosión de una central nuclear en remoto?

La realidad es que ya se han producido situaciones como estas. En 2015, por ejemplo, unos atacantes consiguieron controlar las compuertas de una presa de agua de Nueva York (EE. UU.). Los ciberdelincuentes saben que pueden hacer daños a escala mundial y las incidencias van en aumento. Según el Instituto Nacional de Ciberseguridad (Incibe), durante el primer semestre de 2017, se produjeron 69.644 incidentes solo en España, lo que supone un incremento del 21% respecto al mismo periodo de 2016. De ellos, 69.213 se lanzaron sobre ciudadanos, empresas y redes académicas, y sólo 431 de ellos afectó a operadores críticos. Puede que en proporción, la cifra sea baja, pero un solo ataque exitoso a una infraestructura crítica podría acabar en tragedia. Según el informe Tendencias en el mercado de la ciberseguridad, elaborado por Incibe, el objetivo de atacar a estas infraestructuras es realizar ciberespionaje industrial, controlar o interrumpir sistemas y sustraer o vender información confidencial.

La puerta del hacker

"Las instalaciones operan con sistemas informáticos convencionales [Windows, Explorer, Firefox, etcétera] y se han conectado a internet, y es esto lo que ha abierto la puerta a los ciberdelincuentes", alerta el presidente de la Red de Excelencia Nacional de Investigación en Ciberseguridad (RENIC) y catedrático de la Universidad Carlos III de Madrid (España), Arturo Ribagorda. Según el informe de S2 Grupo, esta situación es la que ha hecho que los sistemas de control industrial que gobiernan las infraestructuras estén expuestos a los mismos tipos de ciberataque que puede sufrir cualquier sistema conectado a internet. En su investigación, la mayoría de los ataques procedían de herramientas automatizadas, sobre todo, debido a la cantidad de servicios conectados a internet.

"La seguridad 100% no existe", alerta la secretaria del Consejo Nacional de Ciberseguridad, María del Mar López. Pero la experta llama a la calma y afirma que "hay recursos para minimizar al máximo los riesgos". En su opinión "hace falta motivación y fuentes de inteligencia fiables y precisas".

Empresas, ciudadanos y ahora también, infraestructuras críticas, deben hacer frente a cualquier ciberataque. Los más habituales se producen en forma de ransomware (secuestro de información por encriptación), phising (suplantación de identidad) y botnets (robots que controlan de manera remota los dispositivos, que han proliferado debido a la escasa seguridad que proporcionan las empresas al IoT). Pero para evitarlos no basta con desactivar los dispositivos que no se utilizan o restablecer las contraseñas. Es crucial ir más allá. Estas son algunas de las medidas de protección clave que plantean los expertos:

• Evaluación técnica. "Hay que saber en qué estado se encuentra la instalación. Así se puede establecer las medidas específicas", explica Navarro. Esto implica realizar auditorías técnicas e implantar soluciones de seguridad en la nube. También es necesario exigir certificados de confianza digital a clientes y proveedores. Tampoco hay que olvidarse de implantar altos niveles de ciberseguridad en los sistemas SCADA (Supervisión, Control y Adquisición de Datos).

• Monitorizar los sistemas de seguridad de la información. Hay que proteger las redes industriales (equipos o maquinaria que operan conectados a internet) y a las redes corporativas (como los ordenadores de los empleados).

•  Cuidado con los servidores web. Según la investigación de S2 Grupo, es recomendable no utilizar los servidores web para configurar los dispositivos industriales ya que estos servidores se pueden convertir en un vector de ataque.

• Especial atención a Internet de las Cosas. Los riesgos están relacionados con la convergencia de múltiples plataformas y aplicaciones en sistemas embebidos. Por ejemplo, en el caso de los edificios inteligentes se emplean sistemas conectados para medir aspectos como la climatización o hacer un uso eficiente de la energía que, de nuevo, abren la puerta a los atacantes.

• Intercambio de información. "Hace falta un sistema ágil de intercambio de información sobre los ataques en tiempo real", comenta Ribagorda. Y añade que sería idóneo establecer un método actualizado de gestión de riesgos, ya que "así se fomentaría una defensa proactiva frente a la reactiva que es la que se asume hoy".

• Concienciación de los empleados. Un ciberataque puede llegar desde cualquier parte y a veces son los propios empleados los que permiten la entrada de los hackers. De hecho, uno de los métodos favoritos de los ciberdelincuentes es enviar un correo con un archivo infectado para que se lo descarguen los trabajadores y así poder acceder a los sistemas internos.

Una arista fundamental para combatir estos delitos es conocer el motivo por el que actúan los delincuentes. Según Ribargorda, la mayoría desea lucrarse económicamente y pide una cantidad de dinero a cambio de devolver la información sustraída. En otras ocasiones, se persigue desestabilizar alguna nación y son los propios países los que lanzan estos ataques.

En lo que respecta a España, parece que va por el buen camino. Según el estudio Global Cybersecurity Index (GCI), elaborado por la Unión Internacional de Telecomunicaciones de Naciones Unidas (UIT), el país se encuentra en el puesto 19º del mundo por su compromiso con la ciberseguridad. De hecho, la última reforma del Código Penal tipificó e introdujo una serie de delitos informáticos entre sus áreas de actuación. Las medidas legales se suman así a las herramientas técnicas para esquivar a los hackers. Pero aún queda mucho camino por recorrer para evitar que los delincuentes informáticos sean capaces de volver a dejar al mundo a oscuras.

*Este artículo se publicó originalmente en el Blog de Innovación de Sacyr el 21/11/2017