¿Y si el apagón fue un ciberataque? Responde un experto en ciberseguridad

Georgios Portokalidis, IMDEA SOFTWARE

Tras el apagón del 28 de abril que sumió a gran parte de España en la oscuridad, una pregunta no deja de surgir: ¿Fue un ciberataque? Me lo preguntan amigos, colegas e incluso familiares, quizá suponiendo que, como investigador en ciberseguridad, conocería la respuesta. Pero la verdad es que no. Y francamente, ¿cómo podría saberlo?

Las amenazas a infraestructuras críticas

Lo que puedo decir, como alguien que estudia la seguridad de software y sistemas, es que las ciberamenazas dirigidas a infraestructuras críticas son reales. Pero en este caso, debemos confiar en los informes oficiales y en los hechos disponibles. Hasta ahora, las autoridades lo han dicho claramente: no hay pruebas de que el apagón fuera causado por un ciberataque.

Aun así, la pregunta muestra algo importante: la gente es cada vez más consciente de que los servicios esenciales, como nuestra red eléctrica, dependen de sistemas digitales, y de que esos sistemas pueden ser vulnerables.

En cierto modo, es una buena noticia: la concienciación es el primer paso hacia la resiliencia. Pero también existe la tendencia a imaginar a oscuros hackers tras cada percance, causando estragos desde un teclado. Aunque finalmente se resuelva claramente la causa y quede claro que el apagón del 28 de abril no fue causado por un ataque, merece la pena entender por qué los temores no son del todo infundados.

El ciberataque no es una idea infundada

Hoy en día, el software está en todas partes. No sólo funciona en nuestros teléfonos y portátiles, sino también en centrales eléctricas, plantas de tratamiento de agua y sistemas ferroviarios. Nuestra red eléctrica, en particular, se ha vuelto más inteligente y reactiva gracias a la digitalización de sus operaciones básicas.

Los SCADA, abreviatura de Supervisory Control and Data Acquisition (control de supervisión y adquisición de datos), son los sistemas digitales que utilizan los operadores para supervisar y controlar la red eléctrica en tiempo real. Permiten reaccionar con rapidez ante los fallos, equilibrar mejor la oferta y la demanda y utilizar la energía de forma más eficiente. Pero, como ocurre con todos los programas informáticos, este tipo de sistemas de infraestructuras críticas también pueden tener errores o fallos de diseño, vulnerabilidades que podrían ser explotadas por alguien con los conocimientos y el acceso adecuados.

Aislar los sistemas críticos

Para protegerse de estos riesgos, un enfoque tradicional (y drástico) ha sido aislar físicamente los sistemas críticos de internet, una práctica conocida como air-gapping. Esto significa que no hay ninguna conexión de red con el mundo exterior. Las actualizaciones y transferencias de datos se realizan manualmente, a menudo a través de unidades USB.

Aunque altamente seguro, el air-gapping también puede ser incómodo e ineficaz. Por eso muchas partes de la red actual sí están conectadas para permitir el control remoto, la supervisión en tiempo real y la integración con los sistemas informáticos corporativos.

Multiples capas de defensa

Esta conectividad aporta ventajas evidentes, pero también nuevos riesgos. La buena noticia es que las infraestructuras críticas no se dejan al descubierto. Estos sistemas se construyen con múltiples capas de defensa. En primer lugar, las redes están segmentadas, divididas en función de la sensibilidad de sus componentes.

Existen controles estrictos sobre cómo fluyen los datos entre segmentos. Es posible que haya oído hablar de los “cortafuegos”: dispositivos que imponen normas sobre qué tráfico puede pasar de un sistema a otro.

En infraestructuras críticas, también utilizamos herramientas más extremas, como pasarelas unidireccionales o diodos de datos, que permiten que fluyan en una sola dirección. Por ejemplo, un dispositivo de vigilancia puede enviar datos a la central, pero nunca aceptar órdenes de entrada.

En segundo lugar, los sistemas se supervisan continuamente. Un software especial busca órdenes o patrones de tráfico sospechosos y alerta a los operadores humanos, que pueden decidir si es necesario actuar.

Hay más medidas de seguridad. Los sistemas de control de acceso limitan quién puede tocar sistemas sensibles, a menudo utilizando autenticación multifactor o autenticación sin contraseña. Lo que conocemos como “endurecimiento del software” introduce salvaguardas durante la ejecución del software y hay controles estrictos sobre qué software se permite ejecutar en primer lugar, etc.

Ataques a la red electrica en Ucrania e Irán

Sin embargo, sabemos que pueden producirse ciberataques contra los sistemas energéticos, porque ya han ocurrido. En 2015, piratas informáticos dejaron fuera de servicio parte de la red eléctrica de Ucrania. En 2010, el gusano Stuxnet atacó sistemas de control industrial en Irán, dañando equipos físicos mediante la manipulación del software subyacente, sin llegar a hacer saltar las alarmas.

Estos ataques son muy sofisticados y poco frecuentes. Requirieren profundos conocimientos, recursos considerables y meses de planificación. Así que no hay que alarmarse. Pero sí hay que permanecer alerta y seguir invirtiendo en ciberseguridad, tanto en España como Europa.

La ciberseguridad no consiste sólo en proteger dispositivos aislados, sino en comprender cómo funcionan los sistemas complejos en su conjunto. A menudo, los atacantes no necesitan romperlo todo, sólo tienen que encontrar y explotar el eslabón más débil.

En el Instituto IMDEA Software de Madrid, trabajamos para mejorar diversos aspectos de la ciberseguridad junto a los mejores centros de investigación de Europa, contribuyendo a que avance la ciencia del software seguro y aportando nuestro granito de arena para mantener las luces encendidas.

Reciba artículos como este cada día en su buzón. Suscríbase gratis a nuestro boletín diario para tener acceso directo a la conversación del día de The Conversation en español.

Georgios Portokalidis, Profesor asociado de investigación, IMDEA SOFTWARE

Este artículo fue publicado originalmente en The Conversation. Lea el original.