Nuestro país está preparando un Real Decreto para transponer al ordenamiento jurídico la directiva europea 114/2008/CE, siendo éste el verdadero impulso de las actividades del Centro Nacional de Protección de Infraestructuras Críticas (CNPIC).
La noticia del ataque a una central nuclear iraní en junio mediante el gusano Stuxnet, un gusano informático que afecta a los sistemas de control industrial más extendidos, el SCADA (Supervisory Control And Data Acquisition), ha abierto las especulaciones sobre los riesgos a los que se exponen las infraestructuras críticas de todos los países y la posibilidad de que las nuevas batallas se disputen en la red, a parte de “una llamada de atención a todos los países del mundo ante las dificultades de defensa que pueden suponer estos ataques”, comenta Toralv Dirro, responsable de los laboratorios McAfee Labs en EMEA. De hecho, organizaciones gubernamentales como la Unión Europea o la OTAN señalan el ciberterrorismo como uno de los principales desafíos futuros en términos de seguridad.
El uso extensivo de la tecnología ha abierto una nueva tipología de vulnerabilidades, y “dado que la tecnología tiene cabida en todos y cada uno de los distintos sectores estratégicos nacionale
s, puede ser empleada con el objetivo de cometer actos ilícitos que podrían derivar en acciones terroristas”, señala Fernando José Sánchez Gómez, director del Centro Nacional de Protección de Infraestructuras críticas (CNPIC). Por el momento, los ataques se dirigen principalmente a las redes de transporte, plantas de suministro de energía, empresas e infraestructuras de telecomunicaciones y a las Administraciones Públicas, aunque como indica Marcos Gómez, subdirector de programas de Inteco (Instituto nacional de tecnologías de la comunicación), “el mayor peligro es que son ataques multidisciplinares, muy difíciles de predecir”.
A pesar de la continua evolución, actualmente los ciberterroristas están enfocando sus esfuerzos en “la ingeniería social, las vulnerabilidades de los sistemas SCADA y el defacement, que es sustituir un sitio web por otro alternativo de forma intencionada”, explica Marcos Gómez, como el que sufrió recientemente el Ministerio de Cultura por parte del grupo ‘Anonymous’ que logró dejar en jaque sus recursos online. En cuanto al origen de los ataques, es cierto que es difícil conocer con exactitud su procedencia, aunque desde Inteco, Gómez asevera que “un alto porcentaje de lo que recibimos viene de EE.UU, y otro porcentaje algo menor de Latinoamérica, ya que por el idioma es más fácil entrar en nuestro país. El resto proviene de Asia y los países del Este”.
¿Estamos listos?
En España se han tomado a lo largo de los últimos años acciones en el ámbito de la Administración Pública, como la creación en noviembre de 2007 del CNPIC, como órgano director y coordinador de cuantas actividades estén relacionadas con la protección de las infraestructuras críticas, y otros organismos como Inteco o el CCN que también colaboran en ésta materia, pero ¿estaríamos preparados ante un ataque? Gómez afirma que sí lo estamos, ya que “el pasado 4 de noviembre 27 países de la UE realizaron un simulacro de defensa conjunto ante un ciberataque en el que 150 expertos colaboraron para resolver 320 ataques, y se rechazaron todos con éxito”, aunque “dependiendo de la sofisticación de la ofensiva y el grado de coordinación ningún estado estaría preparado”, apunta Toralv Dirro.
Por otro lado, Marta Oliván, gerente de desarrollo de negocio de sistemas de seguridad de Indra, asegura no lo estaríamos ante un ataque dirigido “por la falta de coordinación de los actores implicados, aunque esto se solventará cuando entre en vigor el Real Decreto de protección de infraestructuras críticas que está preparando el CNPIC”. Ésta normativa, que deberá estar lista el próximo año, será el verdadero impulso ante la defensa de ciberataques y de las actividades del CNPIC, pues persigue transponer a nuestro ordenamiento jurídico la directiva europea 114/2008/CE y garantizar la continuidad de los servicios esenciales y estratégicos del Estado y coordinar e implicar a todos los organismos competentes.
De todos modos, “lo primero que tiene que hacer un país o una organización es identificar qué infraestructuras son realmente críticas, y a partir de ahí elaborar un plan para defenderlas con la mayor agilidad posibl