España da sus primeros pasos para proteger las infraestructuras clave de ataques cibernéticos

Infraestructuras críticas: clave para un país

En España la ciberseguridad industrial es una materia relativamente nueva, aunque hay ciertas empresas que llevan tiempo incorporando medidas para prevenir amenazas cibernéticas y también se ha empezado a legislar al respecto. En abril de 2011el Estado aprobó una ley de medidas para proteger las infraestructuras críticas, es decir, infraestructuras clave para el funcionamiento de un país: energía, transporte, alimentación, sistema sanitario, telecomunicaciones, etc.

Desde 2007 existe el Centro Nacional de Protección de Infraestructuras Críticas (CNPIC) aunque hasta que la ley no ha entrado en vigor no se ha formalizado su funcionamiento, según ha contado a RTVE.es su director, Fernando Sánchez. Ha especificado que aunque todas las infraestructuras son importantes, "los sectores energético, eléctrico y el de telecomunicaciones son en los que se basan todos los demás sistemas".

“Hay millones de incidentes informáticos todos los días en todo el mundo y en España“

"Incidentes hay millones todos los días en todo el mundo y en España", ha revelado Sánchez, desde una persona que entra en un sistema y puede robar información hasta Amenazas Persistentes y Avanzadas (APT), que son ataques cibernéticos premeditados, persistentes y sofisticados. Los APT pueden ser gusanos informáticos que están en un PDF, en un mail o en un USB. Estos se descargan, infectan el ordenador, están latentes y se activan en determinados momentos, indica el director de CNPIC.

El coordinador del Centro de Ciberseguridad Industrial, (CCI) José Valiente, ha manifestado a RTVE.es que según datos de las amenazas en los sistemas de control industrial de EE. UU. el 50% de los incidentes de seguridad se dan en el sector energético, y que en un sector como el transporte la incidencia es menor porque "hay pocas tecnologías que controlan los sistemas".

En 2012 se detectaron hasta 20 tipos de malware que podían afectar a las infraestructruras críticas. Sánchez pone el ejemplo de Stuxnet, un virus gusano descubierto en 2010 que paralizó el programa nuclear iraní.

Protección de las infraestructuras

El CNPIC, ha indicado Sánchez, cuenta con un equipo de personas especializadas y herramientas para responder en caso de haber una amenaza o un ataque contra un sistema informático clave, llamado INTECO-CERT -CERT viene del inglés, Computer Emergency Response Team, es decir, equipo de respuesta ante emergencias informáticas-.

El INTECO-CERT protege infraestructuras públicas y privadas -el 80% son privadas, indica Sánchez-, y, aunque alrededor del 90% de sus intervenciones son de "carácter menor", el director del CNPIC advierte de que le preocupa "el daño que puedan hacer dentro" las personas que entren en una infraestructura. "Tenemos que ir poniéndonos las pilas, cada vez el conocimiento es mayor y se sabe más del daño que se pueda hacer", sentencia.

“Es necesario concienciar sobre los riesgos y formar a profesionales en ciberseguridad“

Valiente, del CCI, coincide con Fernando Sánchez en que es necesario concienciar sobre los riesgos, formar a profesionales y aplicar medidas de ciberseguridad, según señala el informe de ciberseguridad industrial que han elaborado junto a decenas de empresas para ayudar a su implantación entre 2013 y 2018.

Estas consisten en hacer un análisis de riesgos, identificar los activos de la industria, valorarlos y medir sus amenazas y vulnerabilidades. "Hace 20 años nadie pensaba en riesgos actuales y los sistemas tampoco se pueden cambiar tan rápidamente, tienen que empezar a diseñar los sistemas con los nuevos requisitos de seguridad", ha subrayado.

Precisamente los días 2 y 3 de octubre Madrid acoge el primer Congreso Iberoamericano de Ciberseguridad Industrial con expertos internacionales para intercambiar conocimiento y experiencias.

Red Eléctrica Española

Un caso de infraestructura crítica ya 'concienciada' y que ha tomado medidas ante posibles incidentes de ciberseguridad es Red Eléctrica de España (REE). Su director de Sistemas y Tecnología de la Información Corporativos, Ángel Mahou, ha explicado a RTVE.es que REE se ha ido adaptando a las distintas amenazas desde que nació la compañía, en 1985.

Sobre los peligros cibernéticos apunta que "parece que el mayor riesgo es el ciberterrorismo, pero hay cibercrimen, robo de propiedad intelectual o uso de información sensible". Así, REE cuenta con políticas, especialistas y equipos de seguridad informática; medidas desde actualización de software hasta una "vigilancia perimetral de las instalaciones" eléctricas, así como planes de contingencia en caso de sufrir un ataque.

“Lo que más nos preocupa es que el suministro de energía continúe“

"Tenemos sesiones de trabajo continuas con los ministerios de Industria y del Interior y con los cuerpos de seguridad del Estado. Ante una amenaza externa, la colaboración y compartir riesgo son muy importantes", ha señalado Mahou, quien ha subrayado que lo más preocupa a REE es "que el suministro de energía continúe", a pesar de que "lo que más sale en la prensa" son los ataques a las webs externas.

Asimismo, Mahou ha apuntado que la concienciación se extiende a "todos los operadores eléctricos" y al resto de países europeos.

Por otra parte, REE cuenta con complejos protocolos para asegurar las comunicaciones de sus empleados y altos cargos. Tienen un sistema de acceso restringido a la información: perfiles con derechos de acceso, dos contraseñas, sensores dactilares, tarjetas de autentificación... El objetivo, cuenta Mahou, es garantizar el acceso de la persona correcta a la información a la que está autorizada a acceder.

Además, REE "no guarda información en la nube" e imparte formación a los empleados y a sus familias para que las personas, más allá de que sean trabajadoras de la compañía eléctrica, sean conscientes de sus actos a la hora de usar Internet.