España es el quinto país del mundo con más sistemas que controlan todo tipo de instalaciones y procesos industriales conectados a internet, la mayoría sin protección. Desde su casa, el gurú en la especialidad Amador Aparicio podría abrir las compuertas que vacían el estanque del Retiro. O cambiar la temperatura de la piscina de un hotel de lujo. Los más sensibles, las infraestructuras críticas, están siendo duramente ciberatacadas, con un aumento del 357% el pasado año. Y, según los expertos, esta cifra se queda corta.

En algunas ocasiones los hacker quieren dinero y en otras solo molestar. El 'ransomware' ha puesto su punto de mira sobre las bases de datos abiertas.

Amador Aparicio suele dar conferencias de ciberseguridad. Al estudiar algunos datos, sobre sistemas de control industrial, acabó boquiabierto con la de cosas que podía hacer a distancia, como poner en marcha los hornos crematorios de un tanatorio, decidir a partir de qué temperatura ambiente se pondrá en marcha la calefacción de un colegio mayor, o desactivar las alarmas que avisan de presión excesiva en la caldera de un bloque de viviendas.

Estos ciberataques son, además, bastante fáciles, explica Aparicio: "Si quieres localizar sistemas de control industrial inseguros, lo primero es conocer el fabricante y, con este dato, ir a un buscador de dispositivos conectados a internet como Shodan". En segundos, Shodan muestra un listado de sistemas vulnerables, incluída su ubicación GPS.

Lo siguiente es conseguir el 'software' de gestión que usa el dispositivo que se quiere atacar, para instalarlo en el propio ordenador, de forma que “el ordenador del hacker y el dispositivo atacado hablen el mismo idioma". Según el experto, estos programas se pueden obtener muchas veces en la misma página del fabricante, que está mal protegida y permite descargar lo que se quiera.

"El último paso es conectarnos al dispositivo", explica el investigador, algo también relativamente fácil porque, asegura, "muchos dispositivos que controlan procesos industriales o sistemas críticos no presentan ningún tipo de configuración de seguridad". Una vez dentro, se puede modificar el funcionamiento del dispositivo, bien cambiando los parámetros que ponen en marcha el sistema (por ejemplo hacer que se active a partir de la temperatura que queramos), bien modificando la información que tiene en memoria, para que haga cosas inesperadas.

Aparicio achaca esta falta de seguridad a que "el operario que los ha puesto en internet no tenía los conocimientos o no ha pensado que alguien pueda acceder". Otros dispositivos sí están protegidos, pero "con los datos por defecto que muestra la documentación", datos que puede conocer cualquiera que haya leído el manual. Otro problema, dice el investigador, es que "cada fabricante utiliza sus propios protocolos, inseguros en algunas ocasiones, y no hay una estandarización a la hora de integrarlos".

José Valiente, director del Centro de Ciberseguridad Industrial (CCI), añade: "Hay un número creciente de procesos e instalaciones automatizadas y conectadas con el exterior, en muchos casos a través de internet; todo ha aumentado en la automatización industrial, la complejidad, el uso y la exposición de los sistemas, pero la ciberseguridad se ha quedado atrás. No lleva el mismo ritmo".

España es el quinto país del mundo con más sistemas conectados. Hay 3.059 sistemas de control industrial conectados a internet a la hora de escribir este artículo. ¿Pero cuántos de forma segura?. En este contexto, preocupan especialmente los operadores de servicios esenciales y las infraestructuras críticas. Hackers maliciosos podrían envenenar nuestra agua, sabotear centrales nucleares o dejarnos sin luz, por poner solo ejemplos que ya han sucedido en otros países.

El año pasado se detectaron 479 incidentes de ciberseguridad en infraestructuras críticas situadas en España, un aumento del 357% respecto a 2015 según el Centro Nacional de Protección de las Infraestructuras Críticas (CNPIC), que relativiza este alarmante dato: "En 2016 ha aumentado el número de operadores críticos, también las capacidades del CERT de Seguridad e Industria y el nivel de confianza en sus relaciones con los operadores críticos, lo que ha redundado en un incremento de notificaciones".

Hay sistemas de control de contadores, alarmas y calefacción de un bloque de viviendas, con un incremento notable y aún así según José Valiente, "no han detectado ni el 10% de los incidentes que se están produciendo". Las sondas que recogen estos datos analizan solo el 10% del tráfico de un centenar de operadores críticos, explica el director del CCI. "Si inspeccionasen el otro 90% de tráfico estaríamos hablando de más de 4.000 incidentes en solo estos 100 operadores". Y si incluimos a todos los operadores de servicios esenciales, más de 5.000 en España, "entonces hablaríamos de al menos 100.000 incidentes tecnológicos", afirma Valiente.

Los atacantes parecen organizaciones muy estructuradas, con especialización en las distintas labores necesarias para construir un ciberataque y que invierten gran cantidad de recursos

Los servicios críticos más atacados en España son, según un estudio del CCI, "el sector salud, en el que se han registrado más de 40.000 incidentes; seguido del energético, debido a la utilización de tecnología muy reciente en la red eléctrica inteligente".

El 'Informe Anual de Seguridad Nacional 2016' destaca que los incidentes de ciberseguridad en Renfe "han experimentado un incremento exponencial", pero el director del CCI lo matiza: "El sector del Transporte en España es uno de los que mejor nivel de seguridad tiene, especialmente el aeronáutico". El estudio de CCI ha evaluado diferentes sectores y, según Valiente, Renfe obtiene la mejor calificación.

Pero la gran preocupación de los gobiernos occidentales es la red eléctrica. Y su pesadilla es sufrir un ciberataque como el que dejó siete horas sin luz a Ucrania en un frío diciembre de 2015.

Un virus llamado BlackEnergy jugó un importante papel en el ataque contra Ucrania y, según afirman fuentes del CNPIC, ciertamente los virus y programas maliciosos son responsables de la mayoría de ataques contra infraestructuras críticas españolas. Su objetivo suele ser robar información, chantajear (caso del 'ransomware') o manipular programas legítimos.

 Eso podría pasar aquí. "Una vez que ocurren este tipo de incidentes es difícil que puedan repetirse, pero las medidas para garantizar que no se repliquen pronto hay que adoptarlas lo antes posible, así asegura el director del CCI. “Así creo que sería posible",

Los incidentes más frecuentes son los que no dejan huella (por ejemplo, robo de información) que no descubrimos hasta pasados meses, años, o nunca.

El segundo gran grupo de incidentes contra sistemas críticos detectados por el CNPIC son los bombardeos o "ataques de denegación de servicio", cuya intención es que el servicio deje de funcionar. Como en todo el mundo, en 2016 han repuntado los ataques de 'ransomware' y 'fraude al CEO' también en los operadores críticos españoles. Además, explican desde el CNPIC, "de la mano de Europol se llevaron a cabo varias colaboraciones en la lucha contra las botnets (robots informáticos)". Afortunadamente, se congratulan, "todos los incidentes se detectaron, gestionaron y resolvieron a tiempo".

Otros observadores no muestran tanto optimismo. Desde el CCI recuerdan que las estadísticas que conocemos son de cosas visibles, como ataques que provocan una caída del servicio o un mal funcionamiento.

 En Estados Unidos se están tomando especialmente en serio la defensa de su red eléctrica y expertos que trabajan en ello comparten la visión de Valiente, como Michael Assante : "Estamos entrando en una era en la que más actores son capaces de tener las habilidades adecuadas, de ingeniería en energía además de ingeniería cibernética y habilidades de acceso". Esto lleva a ataques muy dirigidos contra sistemas críticos que pueden tardar semanas o meses en ser detectados.

La atribución de estos ataques es muy difícil, aseguran nuestras fuentes del CNPIC, pero si es posible ver que "la complejidad y sofisticación de los ataques se incrementa año tras año", lo cual implica que tras ellos no haya un individuo aislado sino, según el CNPIC, "organizaciones altamente estructuradas, con especialización en las distintas labores necesarias para construir un ciberataque y que invierten gran cantidad de recursos". Ataques de estas dimensiones solo pueden ser sufragados por millonarios, grandes corporaciones o gobiernos.

En esta liga, la defensa requiere también la fuerza de un gobierno y parece que el español se está poniendo rápidamente las pilas. Como muestra, la Ley de Protección de Infraestructuras Críticas, el Plan Nacional para la Protección de Infraestructuras Críticas, la creación de organismos como el Servicio de Alerta Temprana para sistemas industriales o los nuevos Centros de Coordinación de Ciberseguridad en Renfe y Autoridades Portuarias, o la colaboración de actores públicos y privados en entornos como la Mesa de Coordinación de Ciberseguridad y la producción de documentación como la "Guía de Reporte de ciberincidentes para operadores críticos".