Un repaso a los principales ciberataques ocurridos en los últimos años que demuestran hasta qué punto España (y otros países como Ucrania) son vulnerables y por qué proteger las infraestructuras críticas debería ser primordial en este mundo interconectado.
Desde el inicio de la invasión de Rusia a Ucrania el pasado 24 de febrero de 2022, la Administración Pública española ha estado sufriendo diferentes intentos de ciberataques, empezando por el Servicio Público de Empleo, según alerta el Centro Nacional de Inteligencia.
El día 28 de febrero de 2022 recibieron un correo los empleados de la Seguridad Social con el siguiente mensaje: “Os informamos que, debido al conflicto entre Rusia y Ucrania, el nivel de riesgo por posibles ciberataques desde Rusia a organizaciones españolas, entre ellas la Seguridad Social, se considera en la actualidad muy elevado”.
Seguidamente, se solicitaba a todos ellos que apagaran los ordenadores cada vez que no se utilizaran, como medida preventiva, así como en caso de encontrar un comportamiento extraño en el equipo, y cambiar las contraseñas SILCON.
El SEPE ya sufrió un ciberataque el 9 de marzo de 2021 cuando se introdujo un ransomware, Ryuk, que comenzó a cifrar los archivos de esta entidad, para posteriormente solicitar un rescate. La ejecución del ransomware Ryuk afectó a los sistemas operativos de Windows, dejando libres de ataque a los sistemas CORE, como Solaris y Linux.
Después de 11 días de inoperabilidad, consiguieron resolver el incidente. Tras ello, el SEPE comenzó un acuerdo de colaboración con el Centro Criptológico Nacional, CNN-CERT, y con la Secretaría general de Administración Digital, para llevar a cabo un monitoreo las 24 horas y crear un Centro Operativo de Ciberseguridad dedicado al SEPE.
Para conocer la vulnerabilidad de un Estado con respecto a los ciberataques, debemos conocer el término de infraestructura crítica. Tal y como establece el apartado e) del artículo 2 de la Ley 8/2011, de 28 de abril, por la que se establecen medidas para la protección de las infraestructuras críticas, que consisten en “las infraestructuras estratégicas cuyo funcionamiento es indispensable y no permite soluciones alternativas, por lo que su perturbación o destrucción tendría un grave impacto sobre los servicios esenciales”.
Por qué proteger las infraestructuras críticas es primordial en un mundo interconectado
Proteger las infraestructuras críticas de los ciberataques debería ser primordial en este mundo interconectado. Además, para protegernos de posibles ciberataques, debemos también formarnos en ciberseguridad, empezando con un correcto uso de nuestros dispositivos.
Tres han sido los ciberataques a infraestructuras críticas que han vulnerado gravemente la seguridad de un país. El primero ocurrió en 2010, cuando un software malicioso llamado Stuxnet dañó los motores de las centrifugadoras que enriquecen uranio en la planta nuclear de Natanz (Irán), llegando a deshabilitar 1.000 centrifugadoras.
El “trabajo” del virus consistió en permanecer durante 30 días observando el funcionamiento de las centrifugadoras (es el tiempo que tardan en llenarse de uranio), y cuanto las atacó, reprogramando su velocidad, mostró esa monitorización, reproduciendo los datos recogidos, para que los técnicos no pudiesen detectar el comportamiento defectuoso.
Otro caso de ciberataque a infraestructuras críticas sucedió en 2015, en Ucrania, donde los hackers utilizaron un programa malicioso llamado BlackEnergy 3 que cerró las subestaciones de tres compañías energéticas y dejando tres regiones de Ucrania sin electricidad en pleno invierno a casi 250.000 personas. La conclusión de este ataque fue que la distribución del programa se realizó mediante phishing personalizado, recibían un correo electrónico con un archivo adjunto falso de Microsoft el cual, al abrirlo, infectaba el equipo.
El último ataque a infraestructuras críticas fue en 2017, en este caso tomaron el control de una estación de trabajo en Arabia Saudita, a través de un programa malicioso llamado Tritón, que controlaba el sistema de seguridad instrumentado (SIS) y que fue introducido también mediante phishing. Su investigación se centró en el sabotaje con la finalidad de provocar una explosión al atacar los sistemas de seguridad que prevenían los accidentes industriales catastróficos, no como los anteriores ataques, cuya finalidad era destruir datos o apagar las plantas energéticas. Los ciberterroristas no consiguieron su propósito gracias a un fallo de codificación.
Con estos ataques hemos comprobado que los hackers se centran en dañar la tecnología operativa (TO), y que la herramienta utilizada fueran programas maliciosos nos enseña que debemos establecer medidas encaminadas a prevenir los ataques de dichos programas.
La evolución del IoT es mucho mayor que el crecimiento en ciberseguridad
¿Cuál es el problema? Que la mayoría de los programas de ciberseguridad se enfocan en tecnologías de la información (TI) en lugar de tecnologías de la operación (TO). La mayor diferencia entre uno y otro es que las TI se encuentran en el mundo virtual, mientras que las segundas están en el mundo físico. También se podrían diferenciar como TI corporativos o TO industrial.
Cuando se unen ambos, como ocurre con el Internet Industrial de las Cosas (IIoT), es decir, se integra en las máquinas físicas sensores y programas que se conectan en red, ya no vemos muchas diferencias entre TI y TO, haciendo más accesibles a los ciberdelincuentes las infraestructuras críticas.
