Los expertos en seguridad no se toman a la ligera este tema, pues hay hechos fehacientes de ataques indiscriminados a empresas e incluso países. De hecho, la guerra fría se juega en la red con espías, activistas y hackers actuando a discreción y de forma invisible. Como dato ilustrativo, los servicios secretos del CNI detectaron en 2012 más de 200 ciberataques de diferente dimensión que entrañaban un riesgo ‘muy alto’ o ‘crítico’, más del doble del año anterior.
La misma fuente alertaba no solo del incremento sino de una mayor virulencia por parte de los atacantes. La opinión pública no es muy consciente de esta circunstancia, pues han trascendido solo aquellos ataques de alcance mediático que han afectado a países concretos, como el de Rusia a Georgia o el famoso Stuxnet, en el que Estados Unidos e Israel ‘presuntamente’ se asociaron para bloquear el plan nuclear de Irán, y que a fe lo consiguieron paralizando el proyecto un año y medio. “Estamos más que seguros de que se han producido, se producen y se producirán otros ataques de los que no tenemos constancia porque nunca se hacen públicos y que pueden ser más graves”, cuestiona Josep Albors, director del laboratorio de Eset España.
El mutismo que se produce en torno a este asunto tiene su explicación, como señala Marcos Gómez Hidalgo, subdirector de Operaciones de Inteco, “pese a que suceden ataques todos los días, las empresas no están obligadas a informar si han sufrido alguna fuga de información. En España no hay una legislación que imponga la transparencia, como sucede en Estados Unidos”.
Sectores como el financiero son los más opacos en esta materia. Desde el Centro Nacional para la Protección de las Infraestructuras (CNPIC) señalan a Computing, que “es evidente que a medida que se publique en fuentes públicas información sensible sobre ciberamenazas concretas que puedan afectar a infraestructuras nacionales, aumentará el riesgo. Por lo tanto, no se debe olvidar que se trata de información sensible para la seguridad nacional”. Un argumento irrebatible desde el punto de vista oficial.
Infraestructuras críticas El punto más frágil de todo país está relacionado con sus infraestructuras críticas, uno de los puntos de mira de los ciberterroristas por motivos obvios. De ahí que los ataques se concentren en los objetivos que más daño puedan generar colateralmente. Jesús Sánchez-Aguilera, regional director de McAfee, apunta que: “para este año 2013 estamos observando que, en infraestructuras críticas, se están moviendo muchos ataques a gran escala.
Es decir, son ataques que tienen un impacto en nuestros bienes y servicios básicos como la electricidad o el agua. Y buscan objetivos de destrucción, interrupción del servicio, con el fin último de extorsionar y sacar un partido lucrativo”. Muchos se preguntarán, ¿corre España serios riesgos en este sentido? ¿estamos a merced de las agresiones indiscriminadas?
El portavoz del CNPIC explica que “tanto a nivel nacional como europeo, se ha detectado que los ciberataques son una nueva fuente de amenaza para la seguridad nacional, por lo que se está trabajando de cara a mejorar la seguridad de los elementos que se pueden ver afectados”.
Para minimizar estos riesgos, el CNPIC trabaja en pos del desarrollo de medidas de seguridad que intenten eliminar o al menos minimizar el impacto que tendría la materialización de un ciberataque.
Estrategia Nacional de Seguridad
En 2011 se publicó el documento denominado Estrategia Nacional de Seguridad que ponía las bases de una política real en relación con la ciberseguridad. La estrategia de ciberserguridad se ha ido elaborando durante 2012, y se prevé su publicación en 2013 con el lanzamiento de diferentes actividades. En este documento programático se introduce por vez primera una referencia explícita a los riesgos relacionados con el uso de las nuevas tecnologías. Gianluca D’Antonio, presidente de ISMS Forum Spain, red de empresas comprometidas con la seguridad, señala que “en línea con las tendencias descritas por reputados organismos internacionales como el World Economic Forum, este documento hace hincapié sobre las ciberamenazas para instar al ejecutivo a considerar la ciberseguridad como un eje fundamental de nuestra sociedad y sistema económico”.
En consecuencia, el Gobierno ha anunciado la próxima publicación de una Estrategia Española de Ciberseguridad que establezca objetivos, roles y responsabilidades para alinear España con el resto de los países de nuestro entorno, que ya disponen de esta herramienta. Esta estrategia está pilotada por el Ministerio de Presidencia (y cuenta con la colaboración de Industria, Interior y Defensa, Inteco y CNPIC) y persigue aumentar la capacidad de respuesta de incidentes, detección temprana de amenazas y diseminación de la información entre los agentes implicados, las empresas y la ciudadanía. No podemos obviar que España va a la zaga en esta materia. Según confirma Hidalgo de Inteco, “Estados Unidos tiene también en diseño su estrategia de ciberseguridad, y países como Reino Unido, Francia o Alemania ya las han publicado y están en fase de implementación”. D’Antonio de ISMS se lamenta de que “Europa ha tenido hasta hoy un perfil de mínimos en su aproximación a la ciberseguridad. La Agencia Europea para la Seguridad de la Información y de las Redes (ENISA) tiene muy pocos medios y competencias, y casi ninguna capacidad operativa para hacer frente a las ciberamenazas”. Si bien, recientemente, la Comisión Europea ha anunciado que presentará su propuesta para una directiva sobre ciberseguridad, D’Antonio estima que “los esfuerzos para homogeneizar las regulaciones de los distintos países sobre ciberdelitos y tutela del ciudadano frente a las ciberamenazas son insuficientes”. El nivel de coordinación entre Estados en estas áreas es muy limitado y existe mucha disparidad en los recursos y medios destinados a la lucha contra el cibercrimen entre los Estados miembros de la Unión Europea.
Ciberterrorismo en la empresa
El ciberterrorismo no es exclusivo de los países. “En la actualidad más del 80% de las infraestructuras, encuadradas dentro del Catálogo Nacional de Infraestructuras Críticas, están en manos del sector empresarial privado, y que se ven directamente afectadas por las medidas promulgadas por el Gobierno mediante la Ley 8/2011 y que han tenido concreción normativa, mediante el establecimiento de requisitos excepcionales de seguridad, a través del Real Decreto 704/2011”, señala un portavoz de la Unidad de Ciberterrorismo de la Guardia Civil, que no se identifica por razones de seguridad.
Y ante esta situación de posible vulnerabilidad las empresas españolas tienen ante sí un gran desafío, pues les va la vida en ello. Es evidente que en los últimos diez años muchas compañías se han dotado de recursos para abordar el capítulo de la seguridad. Sin embargo, más de un estudio sugiere que la seguridad no es todavía estratégica en algunos entornos corporativos.
Pese a la concienciación de los CIO y los CISO, “este nivel de atención no se ve reflejado en los órganos de dirección de muchas compañías”, puntualiza D’Antonio. Pero los CEO deben saber que el ciberterrorismo afecta a la operación habitual de su empresa, a la disponibilidad de sus servicios, a la confianza de sus clientes y, a la postre, a su imagen y reputación.
Unido a esto está el ciberespionaje, como herramienta de extracción y robo de información de entidades y empresas, que puede ser también considerado un ataque ciberterrorista cuando en dichas acciones se vulneran los sistemas, se consiguen datos que pueden derivar en futuros ataques, se venden dichos datos o información a terceros, etc. “Hay también una clara relación entre el ciberterrorista y el ciberdelincuente, ya que parte del dinero y de la información que se extrae de la ciberdelincuencia es utilizado para realizar ataques ciberterroristas”, señala Marcos Gómez desde Inteco.
Otro punto de mira de los delincuentes son los centros de datos. Los CPD son un jugoso objetivo no sólo para los terroristas, sino para cualquier atacante por la cantidad de valiosa información que manejan y los problemas que pueden ocasionar en caso de verse afectados por un ataque. “De hecho, es uno de los principales objetivos, y por ese motivo, debería ocupar una posición privilegiada en cuanto a las prioridades del equipo de seguridad”, aconseja Albors de Eset. Conforme va aumentando la adopción de tecnologías bajo el modelo de cloud computing, cambiarán las prioridades de los gobiernos acerca de la seguridad de las infraestructuras públicas. En este sentido, Gartner vaticina que en tres años, las infraestructuras cloud públicas estarán legisladas por regulaciones de infraestructuras críticas como las de Estados Unidos.
En suma, dadas las circunstancias, “es necesario dotar a dichas organizaciones de los recursos necesarios para mantener un equipo de expertos que fortifiquen el entorno y respondan ante incidentes, así como pasar de forma periódica auditorías externas y seguir tanto las mejores prácticas de la industria como las regulaciones que disponga su sector”, prescribe Vicente Díaz, analista senior de malware de Kaspersky Lab.
Este experto aconseja preparar un plan para realizar de forma regular este tipo de comprobaciones y disponer de un equipo para dar respuesta a incidentes, que conozca bien la infraestructura para poder reaccionar en caso de incidentes. Para ello hay que dotar al mismo de herramientas de monitorización interna y externa. Otro paso esencial es concienciar a todos los usuarios del sistema acerca de los riesgos asociados y derivados de su trabajo: “hay que recordar que el factor humano siempre es el más importante en cuanto a seguridad se refiere”, concluye Díaz. Para aquellas empresas que no dispongan de gran presupuesto, especialmente pymes y ciudadanos, Inteco ofrece de forma gratuita sus servicios CERT (Computer Emergency Response Team), cuya finalidad es servir de apoyo preventivo y reactivo en materia de seguridad TIC.
