Las Administraciones Públicas y las empresas energéticas son los sectores más expuestos a ciberataque

Copiar documentos privados de un Ministerio o acceder al funcionamiento de una central eléctrica, son sólo algunos ejemplos de lo que podría hacer un atacante si tuviera acceso remoto a los sistemas informáticos de una Infraestructura Crítica. S2 Grupo ha presentado el II Informe sobre Protección de las Infraestructuras Críticas en España del que se extrae que éstas cuentan con más de mil vías susceptibles de ser intervenidas directamente desde Internet, lo que supone un riesgo muy elevado para su funcionamiento y su seguridad. El sector de las Administraciones Públicas es el que presenta más elementos susceptibles de ataque desde Internet, seguido de la industria química y del sector energético; los sectores mejor protegidos son el financiero y tributario, el espacial y el nuclear. Por lo que se refiere a las zonas que más vulnerabilidad presentan, destacan las más industrializadas: Madrid, Barcelona, Valencia y Bilbao, seguidas de Zaragoza y Sevilla. Antonio Villalón, Director de Seguridad de S2 Grupo, ha señalado que la falta de seguridad en la protección de las Infraestructuras Críticas españolas está potenciada por tres factores principales: el desconocimiento de los peligros, la comodidad (es más cómodo administrar elementos tecnológicos desde cualquier punto de Internet de forma directa, sin mecanismos de autenticación robusta y sin tener que desplazarse físicamente a una sala de control) y la inseguridad por defecto del software. “En realidad, estos tres factores pueden resumirse en que la falta de percepción del riesgo real es la principal causa de los problemas de seguridad en la protección de las Infraestructuras Críticas en España. Esto es peligroso porque quedan demasiado expuestas a la acción de terceros, por eso es imprescindible reforzar el conocimiento en todos los ámbitos de la seguridad y abordarla de una forma global”, ha afirmado Villalón.

PRINCIPALES ERRORES EN LA PROTECCIÓN DE INFRAESTRUCTURAS CRÍTICAS ESPAÑOLAS

Del estudio realizado por S2 Grupo, se observa que entre los principales errores que genera esa falta de protección en las Infraestructuras Críticas destaca la exposición de elementos de control en Internet: es posible acceder de forma remota a entornos que deben estar siempre protegidos de forma conveniente, no permitiendo bajo ninguna circunstancia un acceso remoto directo. A esto podemos unir el uso de protocolos de comunicaciones no fiables – como http o telnet, que no incorporan cifrado de datos-, así como la inseguridad en el diseño, puesta en marcha y operación habitual de los sistemas SCADA (que en términos generales no se han diseñado con seguridad como premisa fundamental).

OBJETIVOS PARA LA PROTECCIÓN DE LAS INFRAESTRUCTURAS CRÍTICAS

Ante esta situación, S2 Grupo advierte de que es necesario mejorar la protección de los sistemas de control; los fabricantes de sistemas deben de reforzar la seguridad por defecto de sus productos y aquellos que los instalen y gestionen deben de confirmar que estos sistemas se implanten y operen de una forma segura. Además, para avanzar hacia una correcta protección de las Infraestructuras Críticas es imprescindible cumplir los siguientes requisitos:

• Que los responsables de este ámbito sean plenamente conscientes de los riesgos derivados del ámbito tecnológico, como deben serlo de los riesgos derivados de cualquier otro ámbito de la seguridad.
• Que se establezcan canales de acceso seguro a los elementos tecnológicos de las Infraestructuras Críticas.
• Que se evite el uso de protocolos de acceso inseguros, en especial aquellos que no incorporan la cifra, así como de sistemas que no dispongan de autenticación o que establezcan contraseñas por defecto