viernes, 9 de junio de 2017

El aumento de los ciberataques a las infraestructuras

Los ciberataques a las infraestructuras extracríticas de España —centrales eléctricas y nucleares, plantas de agua, aeropuertos y hospitales, entre otras— no paran de aumentar. A un ritmo mayor del previsto por el Gobierno. Según los datos del Instituto Nacional de Ciberseguridad (Incibe), las ofensivas a través de la red contra los operadores de estas instalaciones se han multiplicado por siete en solo dos años. Han pasado de 63 en 2014, a 134 en 2015 y a 479 en 2016. Y, además, en el primer cuatrimestre de 2017 se han registrado 247, por lo que de seguir así se superarán los 700 incidentes este ejercicio y se batirá otro récord.

En este acristalado edificio de cuatro plantas, a las afueras de León, la primera alerta saltó a las nueve y cuarto de la mañana. "Nos enteramos, de manera oficiosa, de que algo estaba ocurriendo en Telefónica", explica Marcos Gómez, subdirector del Incibe, al recordar el pasado 12 de mayo, cuando el virus WannaCry desató una alarma mundial. Más de 350.000 operadores —empresas, particulares y administraciones— de 180 países se vieron afectados por un ransomware (cibersecuestro) que encriptaba los documentos de los equipos y pedía un rescate a cambio de descifrarlos. Entre los objetivos, además de la compañía española de telecomunicaciones, se encontraban 16 hospitales británicos, que quedaron totalmente paralizados. Estas infraestructuras estratégicas, denominadas en el argot como "críticas", se vieron obligadas a suspender su actividad y a desviar a sus pacientes de urgencias a otros centros, evidenciando el peligro que entraña un ciberataque de estas características.



Aunque ninguno adquirió una trascendencia similar al del Reino Unido, en España se han descubierto cerca de un millar de ofensivas contra operadores de instalaciones críticas en apenas tres años, según los datos del Incibe. La mayor parte, a infraestructuras energéticas. Una cifra al alza, que evidencia los retos de seguridad a los que se enfrenta el país. "Las amenazas que encontramos en el mundo real, como el espionaje, terrorismo o extorsión; ahora son también ciberamenazas. Y las motivaciones son las mismas que antes", dice Alberto Hernández, director general del Incibe.
El ministro de Interior, Juan Ignacio Zoido, lo advertía también el pasado diciembre en una comparecencia en el Congreso: "La gravedad [de este problema], de potenciales consecuencias, entre ellas la pérdida de vidas humanas, amén de severos daños económicos y de trastornos de todo tipo que puede provocar un evento de esta envergadura, justifica con creces que para el Gobierno sea una de nuestras prioridades en materia de seguridad".

Los virus, los troyanos (software malicioso que permite el acceso remoto desde otro equipo) y los spyware (programas espía) son la amenaza más común. También destacan los accesos no autorizados; y los ataques de denegación de servicio (DoS), que provocan que una plataforma sea inaccesible para sus usuarios. "La protección de las infraestructuras críticas está vinculada cada vez más a una dimensión digital, de cuya protección depende cada vez más nuestra seguridad", señala el último informe de Seguridad Nacional del Ejecutivo.

Toda esta batería de incidencias que, según las previsiones, marcará este 2017 un nuevo récord. Pero Hernández matiza esta continua subida. "Para explicarla, debemos conjugar tres factores. Es cierto que están sucediendo más ataques. Pero también tenemos mejores capacidades para detectarlos y, a su vez, los afectados nos las están notificando más", detalla el máximo responsable del Instituto nacional de Ciberseguridad, sentado en un despacho de la cuarta planta. Desde esta habitación y a través de un cristal, se observa la sala de la tercera donde trabaja el equipo de detección de ciberataques. En una gran pantalla, un mapa de España muestra en tiempo real el número de equipos comprometidos en el país —de todo tipo: ciudadanos, compañías e infraestructuras críticas— y su localización. A las seis de la tarde del martes, Madrid destaca con 9.715 IP en peligro. Le siguen Barcelona, con 5.276; y Sevilla, con 1.529. El nivel de alerta nacional es del 29%. Muy lejos del 72% que se alcanzó durante la crisis de WannaCry.

El soplo que permitió preparar la ofensiva contra WannaCry

"El mundo de la ciberseguridad, al final, es muy pequeño", destaca Marcos Gómez, pasada ya una semana desde el "frenético" viernes en que WannaCry irrumpió en su vida. Una “larga” jornada que se complicó a las 9.15 horas, cuando saltó la primera alerta en el Incibe. No fue una llamada oficial. Fue un soplo. "Alguien nos comentó que algo pasaba en Telefónica", apostilla el subdirector del Instituto Nacional de Ciberseguridad, que comenzó a trabajar de inmediato. El equipo de detección de incidentes inició un rastreo de la red en busca de pistas: movimientos o declaraciones de intenciones de hackers en los días previos. A las 11.15, la compañía de telecomunicaciones les confirmó oficialmente el ataque.
"Contactamos con otros centros de seguridad y también con operadores similares a Telefónica para saber si les estaba ocurriendo lo mismo", apostilla Gómez. Enviaron ya las primeras recomendaciones para frenar el avance del ransomware. Y sobre las 12.30 se envió el informe interno a los operadores con los primeros análisis. También se elaboraron documentos ejecutivos para la Secretaría de Estado y para el Ministerio de Industria, del que depende el Incibe. Eran los primeros pasos de un trabajo que duraría días.

Los fraudes electrónicos

El lenguaje que usan los técnicos del Incibe recuerda al policial. Hablan de rastrear la web en busca de "movimientos" sospechosos y de "declaraciones" de hackers que desvelen amenazas; de los "cebos" que colocan a los "malos"; y de las "muestras" de virus que analizan para comprender su funcionamiento y combatirlos. Porque su actividad no se limita a las infraestructuras críticas. En 2016, aquí se contabilizaron más de 115.000 ciberataques a ciudadanos, universidades, empresas e instituciones. Esa cifra se duplicó respecto a 2015, cuando se registraron 60.400. En el primer cuatrimestre de 2017, sumaron más de 50.000.
En este contexto general, las amenazas más habituales son los bots (programas que infectan equipos para que pueda controlarlos un hacker), los ramsonware y los delitos de fraude electrónico e intento de robo de credenciales personales (tarjetas bancarias y cuentas de correo), entre otros. Hasta los equipos del Congreso los han sufrido, según confirman fuentes parlamentarias. Aunque estos ataques no causan excesiva preocupación en los expertos. Su pesadilla es otra.
Es el 23 de diciembre de 2015 la fecha que está marcada en rojo en el sector de la ciberseguridad. Ese día, por primera vez en la historia, un ataque informático provocó un corte de suministro eléctrico masivo. Durante horas, el troyano BlackEnergy tumbó la red que abastecía a 600.000 hogares de la región de Ivano-Frankivsk, al sureste de Ucrania. En pleno invierno. Un ejemplo que usó Zoido en el Parlamento para aseverar que el terrorismo y el crimen organizado "tienen capacidad para causar daños catastróficos". Y un suceso al que también se refiere Hernández: "Las infraestructuras críticas, al igual que se protegen de ataques físicos, también hay que hacerlo de los ciberataques. Aquí juegan un papel muy importante los dueños de estas instalaciones; que deberán tomar medidas para combatir estas amenazas. Igual que contratan vigilantes de seguridad".


Fuentes:
Artículo: "Los ciberataques a infraestructuras estratégicas se multiplican por siete en solo dos años" escrito en el Pais por J.J. Galvez el 29/05/2017. URL: http://politica.elpais.com/politica/2017/05/24/actualidad/1495619175_136537.html

No hay comentarios:

Publicar un comentario