Copiar documentos privados de un Ministerio o acceder al funcionamiento de una central eléctrica, son sólo algunos ejemplos de lo que podría hacer un atacante si tuviera acceso remoto a los sistemas informáticos de una Infraestructura Crítica. Así lo expone en sus principales conclusiones el II Informe sobre Protección de las Infraestructuras Críticas en España, realizado por la firma española S2 Grupo, del que se extrae que éstas cuentan con más de mil vías susceptibles de ser intervenidas directamente desde Internet, lo que supone un riesgo muy elevado para su funcionamiento y su seguridad.
Miguel A. Juan y José Rosell, socios-directores de S2 Grupo, junto con Antonio Villalón, Director de Seguridad se han reunido con un reducido grupo de periodistas para dar a conocer este sugestivo informe en el que se han analizado, entre otros aspectos, los sectores con mayor riesgo de sufrir un ciberataque, zonas geográficas más vulnerables, principales errores tecnológicos que afectan a su seguridad y recomendaciones para mejorar en la protección de este tipo de entidades
Tal y como se expuso en la presentación, el sector de la Administración Pública es el que presenta más elementos susceptibles de ataque desde Internet, seguido de la industria química y del sector energético; los sectores mejor protegidos son el financiero y tributario, el espacial y el nuclear. Por lo que se refiere a las zonas que más vulnerabilidad presentan, destacan las más industrializadas: Madrid, Barcelona, Valencia y Bilbao, seguidas de Zaragoza y Sevilla.
Antonio Villalón, Director de Seguridad de S2 Grupo, señaló que la falta de seguridad en la protección de las Infraestructuras Críticas españolas está potenciada por tres factores principales: el desconocimiento de los peligros, la comodidad (es más cómodo administrar elementos tecnológicos desde cualquier punto de Internet de forma directa, sin mecanismos de autenticación robusta y sin tener que desplazarse físicamente a una sala de control) y la inseguridad por defecto del software.
«En realidad, estos tres factores pueden resumirse en que la falta de percepción del riesgo real es la principal causa de los problemas de seguridad en la protección de las Infraestructuras Críticas en España. Esto es peligroso porque quedan demasiado expuestas a la acción de terceros, por eso es imprescindible reforzar el conocimiento en todos los ámbitos de la seguridad y abordarla de una forma global», afirmó Villalón.
Principales errores
Del estudio realizado por S2 Grupo, se observa que entre los principales errores que genera esa falta de protección en las Infraestructuras Críticas destaca la exposición de elementos de control en Internet: es posible acceder de forma remota a entornos que deben estar siempre protegidos de forma conveniente, no permitiendo bajo ninguna circunstancia un acceso remoto directo. A esto podemos unir el uso de protocolos de comunicaciones no fiables – como http o telnet, que no incorporan cifrado de datos-, así como la inseguridad en el diseño, puesta en marcha y operación habitual de los sistemas SCADA (que en términos generales no se han diseñado con seguridad como premisa fundamental).
Objetivos para la protección de las infraestructuras críticas
Ante esta situación, S2 Grupo advierte de que es necesario mejorar la protección de los sistemas de control; los fabricantes de sistemas deben de reforzar la seguridad por defecto de sus productos y aquellos que los instalen y gestionen deben de confirmar que estos sistemas se implanten y operen de una forma segura.
Además, para avanzar hacia una correcta protección de las Infraestructuras Críticas es imprescindible cumplir los siguientes requisitos:
• Que los responsables de este ámbito sean plenamente conscientes de los riesgos derivados del ámbito tecnológico, como deben serlo de los riesgos derivados de cualquier otro ámbito de la seguridad.
• Que se establezcan canales de acceso seguro a los elementos tecnológicos de las Infraestructuras Críticas.
• Que se evite el uso de protocolos de acceso inseguros, en especial aquellos que no incorporan la cifra, así como de sistemas que no dispongan de autenticación o que establezcan contraseñas por defecto
S2 Grupo
S2 Grupo es una empresa de prestación de servicios altamente especializados para la monitorización de procesos de negocio mediante la aplicación de sistemas de gestión en tiempo real, especialmente en el ámbito de la Gestión de la Seguridad. Fundada en 1999 por Miguel Ángel Juan y José Roseil, tiene como objetivo principal ayudar a sus clientes a proteger sus activos. En esta línea, la información se ha convertido en uno de los activos más valiosos, por lo que el cometido de la compañía en numerosas ocasiones se centra en la seguridad de la información.
La compañía forma parte del Consejo Nacional Consultivo de Cyberseguridad y se ha convertido en una de las empresas del sector TIC español que más creció en 2011 y en una de las pymes líderes de Europa en investigación de este sector.