Evolución de las amenazas en las Infraestructuras Críticas

Hasta no hace tantos años, los sistemas que controlaban las infraestructuras críticas eran sistemas de control aislados o, en todo caso estaban conectados a redes de sistemas de control que permanecían aisladas. Por este motivo, la seguridad lógica nunca ha sido un pilar básico en el diseño del software que incorporan estos sistemas. De hecho, muchos de ellos carecen de cualquier tipo de medida de seguridad lógica, no contando ni siquiera con métodos básicos de control de acceso. También es práctica común el uso de protocolos inseguros como telnet o FTP, la total ausencia de trazas o logs, y el uso de sistemas operativos sin parchear u obsoletos como Windows NT, Windows 98 o en algunos casos especialmente preocupantes, incluso Windows 95…

Sin embargo, estas redes que antes estaban totalmente aisladas, se han ido conectando progresivamente a redes de administración y redes de usuario, tanto para alimentar con datos adquiridos sistemas ubicados en estas nuevas redes, como para facilitar la monitorización y administración remota de los sistemas de control. Y obviamente, estas nuevas redes están conectadas con Internet. Esta interconexión de redes provoca que los sistemas industriales que controlan algunas infraestructuras críticas sean mucho más vulnerables ya que potencialmente pasan a ser accesibles desde cualquier PC del mundo que cuente con conexión a internet.

Por otro lado, el escenario mundial en el que nos encontramos actualmente también ha sufrido una gran evolución desde el final del siglo XX. Los ataques deliberados desde internet ya no proceden de tecnólogos adolescentes con ganas de demostrar su habilidad. Actualmente, los atacantes pueden ser tan variados como naciones rivales, mafias o grupos terroristas. Y es que a pesar de que la motivación para perpetrar un “ciberataque” suele ser económica, también nos podemos encontrar con móviles políticos o sociales, por lo que la amenaza terrorista ha de ser tenida especialmente en cuenta en la seguridad de las infraestructuras críticas. Las amenazas están creciendo exponencialmente en los últimos años.

Así mismo, a nadie se le escapa que vivimos en una sociedad cada día más dependiente de la tecnología, pues existen cada vez más servicios esenciales que presentan una fuerte dependencia de sistemas de control digitales para su correcto funcionamiento. Por ello, el impacto potencial que un incidente pueda tener en estos sistemas es cada vez mayor, y es totalmente previsible que esta tendencia se acentúe en los próximos años.

De hecho, existen numerosos ejemplos públicamente conocidos de incidentes de seguridad ocurridos en infraestructuras críticas. Por poner algunos ejemplos concretos:

• EEUU (Agosto de 2003): El gusano “Slammer” infecta una red informática de una central nuclear. Como consecuencia queda desactivado durante cinco horas un sistema encargado de monitorizar que la planta estaba operando bajo condiciones de seguridad.
• EEUU (Diciembre de 2005): La central hidroeléctrica de Taum Sauk sufrió un fallo durante el proceso rutinario nocturno de llenado del embalse. El proceso de llenado no paró cuando se había acumulado ya el agua suficiente, sobrepasándose incluso la capacidad máxima de la presa. El incidente se debió a incongruencias entre mediciones que se transmitían por medio de radio enlaces.
• Polonia (Enero de 2008): Un adolescente polaco de catorce años de edad consigue realizar a voluntad el cambio de agujas en el sistema de tranvía de la ciudad, con la elaboración de un simple mando a distancia casero. Como consecuencia cuatro tranvías descarrilaron y doce personas resultaron heridas.
• EEUU (Marzo de 2008): En una central nuclear, se produce una actualización de un servidor que era utilizado para la monitorización de datos químicos y de diagnóstico asociados con uno de los sistemas de control primarios de la planta. Tras la instalación de la actualización, el ordenador fue reiniciado, lo que derivó en falta de información de monitorización, que a su vez fue malinterpretada por los sistemas de seguridad de la planta, que dispararon un apagado de emergencia de la misma.
• Global (2010): Aparece Stuxnet, el primer malware diseñado específicamente para infectar sistemas industriales. Es un software diseñado para atacar un modelo concreto de Siemens que utiliza 4 vulnerabilidades de tipo “Zero day” inéditas hasta la fecha. Además, utiliza certificados digitales robados para legitimar su contenido malicioso. La complejidad de su diseño pone de manifiesto que se tuvieron que invertir vastos recursos en su desarrollo. Adicionalmente, se especula con que su objetivo pudiera ser el sabotaje del programa nuclear iraní.
• EEUU (Febrero 2011): McAfee detecta una serie de ataques con origen en China dirigidos a los sistemas de varias compañías energéticas de EEUU a los que bautiza como “night dragon”. Estos ataques se basan en técnicas, herramientas y vulnerabilidades conocidas con objeto de obtener información altamente sensible de las organizaciones atacadas, como documentos financieros, información sobre exploraciones de nuevos yacimientos y negociaciones confidenciales entre directivos.
• Global (Octubre 2011): Symantec detecta un nuevo software que está aprovechando vulnerabilidades “Zero day” de Windows con objeto de recopilar información de los sistemas infectados. El malware es bautizado como “duqu” y comparte partes de código con Stuxnet. Como Stuxnet, también utiliza certificados robados para legitimar su contenido y se auto-elimina en los sistemas 36 días después de la infección. Se especula que el objetivo de este nuevo malware es obtener información suficiente para perpetrar un nuevo ataque a infraestructuras críticas siguiendo el modelo de Stuxnet.

Así pues, podemos constatar que tanto las vulnerabilidades como las amenazas y el impacto aumentan, por lo que por definición, el riesgo lo hace también. Como respuesta a esta nueva realidad, el legislativo español ha aprobado el Real Decreto 704/2011, de 20 de mayo, por el que se aprueba el Reglamento de protección de las infraestructuras críticas. Este RD establece el Reglamento que desarrolla la Ley 8/2011, por la que se establecieron las medidas para la protección de infraestructuras críticas y que fue aprobada tan sólo un mes antes, en abril de 2011. El principal objetivo de esta nueva Ley es preparar a las Administraciones Públicas para prevenir y reaccionar de manera óptima ante la materialización de amenazas que puedan afectar a las infraestructuras críticas.

En esta misma Ley, se definen las Infraestructura Críticas como las instalaciones, redes, sistemas y equipos físicos o tecnologías de la información cuyo funcionamiento es indispensable y no permite soluciones alternativas, por lo que su perturbación o destrucción tendría un grave impacto sobre los servicios esenciales. A su vez, define como servicios esenciales aquellos necesarios para el mantenimiento de las funciones sociales básicas, la salud, la seguridad, el bienestar social y económico de los ciudadanos, o el eficaz funcionamiento de las Instituciones del Estado y las Administraciones Públicas.

Uno de los requerimientos que la legislación establece para los operadores de Infraestructuras Críticas, es la realización de un análisis de riesgos que garantice la continuidad de los servicios proporcionados por dicho operador y en la que se recojan los criterios de aplicación de las diferentes medidas de seguridad que se implanten para hacer frente a las amenazas tanto físicas como lógicas identificadas sobre cada una de las tipologías de sus activos. Por lo tanto, es necesario que la metodología de análisis de riesgos aborde de una manera unificada, coherente y global todas las amenazas a las que esté sujeta la infraestructura, con independencia de que su origen pueda ser físico o digital. Otro aspecto relevante a señalar, es la necesidad de que la metodología utilizada tenga una consideración especial para con los riesgos que afecten a la disponibilidad de los servicios, primando dicha disponibilidad sobre la confidencialidad y la integridad de la información.

Otro aspecto de vital importancia para mejorar la seguridad de nuestras Infraestructuras Críticas, pasa por establecer arquitecturas de red seguras, siguiendo el modelo que los americanos han llamado “defensa en profundidad” y que consiste en definir diferentes segmentos de red en los que se agrupan los activos digitales en función de su criticidad. De esta manera, se deben garantizar unos mínimos controles de seguridad a cumplir en cada uno de los niveles definidos de acorde a su criticidad, así como controlar adecuadamente los flujos y protocolos de información que se permiten entre los diversos niveles definidos. Por ejemplo, se deberían segmentar los sistemas de control de las redes de administración, estas a su vez de las redes de usuario, de las DMZ, y de las redes externas no confiables, ya sean de proveedores, socios o Internet. Esta adecuada segregación de redes nos permitirá establecer unos controles de seguridad mínimos con objeto de garantizar la seguridad de los sistemas críticos que soporten las infraestructuras críticas.

Adicionalmente, opino que la figura del auditor externo deberá tomar un papel de especial relevancia en las futuras estrategias de protección de las infraestructuras críticas, como garante de que los operadores están alcanzando y manteniendo un adecuado nivel de seguridad en sus infraestructuras.

Por lo tanto, ha llegado la hora de que los operadores de infraestructuras críticas prioricen la seguridad en sus hojas de ruta, ya que además del crecimiento del riesgo, ahora también se ven sometidos a nuevas presiones legislativas a las que deben dar respuesta de una manera eficiente y en las que será especialmente relevante la coordinación con las administraciones públicas y las Fuerzas y Cuerpos de Seguridad del Estado.