¿Podemos decir que las infraestructuras críticas como las centrales nucleares están a salvo de ciberataques? La respuesta plantea bastante incertidumbre: "Si lo estuvieran, no se hubiera creado, por ejemplo, el centro nacional de protección de infraestructuras críticas..." Nos responde Andreu Bravo, uno de los responsables de ciberseguridad de Deloitte. Hablamos con él con ocasión de la inauguración del centro especializado en amenazas virtuales de la firma en Madrid. Con una inversión de 18 millones de euros, desde él, 574 profesionales de 20 nacionalidades atienden ya 24 horas al día los siete días de la semana las amenazas que puedan sufrir sus clientes en Europa, Oriente Medio y África. La experiencia de la compañía en ciberseguridad se remonta a tres décadas atrás.
El caso más antiguo de sabotaje a instalaciones de energía nuclear fue el protagonizado por Estados Unidos e Israel, bajo el mandato de George W. Bush y después de Barak Obama. Un USB conectado a uno de los ordenadores de la central iraní que enriquecía uranio fue suficiente para que modificara las temperaturas y los procesos. El uranio en esas condiciones era inservible, pero los técnicos de la planta seguían viendo en los monitores que todo marchaba adelante según los planes previstos. Así se evitaba levantar sospechas. Aunque conocido como Stuxnet, en realidad la operación se llamó Olympic Games.
Preguntamos a Andreu Bravo si compensa la conectividad en entornos industriales y en esas infraestructuras consideradas críticas habida cuenta de los riesgos que ésta entraña. "Parece que sí, pues todo el mundo se ha tirado de cabeza hacia la conectividad". ¿Se han valorado los riesgos? Ahí asaltan más dudas. Nos explica Andreu Bravo que "en las industrias están conviviendo sistemas anticuados con otros mucho más nuevos". "Son sistemas muy costosos que habría que renovar, pero las empresas se resisten. El resultado es que conviven ambos modelos y que los más antiguos están expuestos a amenazas para las que ni fueron diseñados, ni están preparados, ni hay tecnología suficiente".
Desde el nuevo Cybersphere Center recrean escenarios de infraestructuras críticas para emular todo tipo de amenazas y posibles riesgos. Preguntado por el mayor ataque que hayan conseguido neutralizar -y que pueda contarse-, remite a una cifra de seis dígitos para hacer ver la frecuencia con la que se repiten estos episodios en un solo día. Advierte que monitorizan redes de miles de empresas alrededor de todo el mundo, con múltiples instalaciones, plantas, etc.
"Estamos aprendiendo de todo lo que está cambiando en el Internet of Things y en el Industrial Internet of Things (IoT e IIoT). Todos los cambios producidos en Industria 4.0 en conectividad han llevado a contextos de mayores riesgos, propios de una evolución que nos ha llevado a adquirir tecnologías muy poco probadas -IoT, conducción autónoma, smartphones, wearables, etc.-", explica este experto de Deloitte. Nos recuerda que en el entorno industrial los intereses y los actores son distintos a los atacantes del ámbito privado. "No hablamos del típico hacker que busca protagonismo o dinero. Ahora hablamos de gobiernos, de terrorismo, de organizaciones que intentan tomar el control de centrales energéticas, por ejemplo, para desestabilizar una economía", añade.
Recreaciones virtuales
Desde el Cybersphere Center nos explican que, además de abordar los problemas que a diario les plantean los clientes, trabajan con recreaciones virtuales como la de una central nuclear, el máximo exponente de infraestructura crítica, que permiten conocer mejor cómo anticiparse a los problemas. Primero estudian cómo funcionan todos sus procesos con sus mecanismos de programación, los llamados Programable Logic Controller (PLC). Aquí empiezan los problemas de seguridad porque "hay infinidad de modelos y un mismo modelo de un mismo fabricante con distinta actualización del firmware ya cambia también su protección", nos advierte. "Esa diversidad impide que alguien pueda permitirse el lujo de invertir en todos los posibles riesgos que existen. A partir de ahí, replicamos los protocolos industriales y empezamos a hacer maldades para ver qué podemos llegar a saber, a modificar. No solo para obtener un beneficio, sino para destruir y hacer daño", explica Bravo. Así, se puede intentar reducir o aumentar la potencia de las turbinas, elevar la temperatura del agua.
En la inauguración de este centro sobre ciberseguridad en Madrid, el presidente de Deloitte, Fernando Ruiz, destacó "la importancia de contar con la tecnología más avanzada para anticiparse a las necesidades del mercado y ofrecer las soluciones que mejor se adapten a cada cliente". En dicho acto intervino la presidenta de la Comunidad de Madrid, Isabel Díaz Ayuso, quien destacó que la seguridad y la ciberseguridad son claves, ya que se encargan de salvaguardar lo más importante que tenemos después de la vida: la libertad".
