TRIBUNA

Ataques a infraestructuras críticas

Una infraestructura crítica son instalaciones, redes, sistemas y equipos físicos o tecnológicos de información sobre la que descansan los servicios esenciales y cuyo funcionamiento es indispensable y no permite soluciones alternativas, por lo que su perturbación o destrucción tendría un grave impacto sobre estos servicios.

Su protección es muy importante ya que puede ser el blanco de un ataque terrorista de tipo nuclear, radiológico, químico, biológico, etc. También,existe el riesgo natural de verse afectadas por un terremoto, una inundación o un incendio y las denominadas catástrofes de tipo tecnológico como la ocurrida en Seveso:una de las peores catástrofes medioambientales del siglo XX.

La estrategia pasa por la preparación de una evaluación de riesgos y amenazas, medidas de seguridad elevadas, el fomento de las normas de seguridad y el intercambio de experiencias. La gestión de las consecuencias de ataques y catástrofes requiere del intercambio de conocimientos y experiencias, la elaboración de escenarios y los ejercicios de formación, así como el establecimiento de mecanismos apropiados para la gestión de la crisis.

El Sistema Nacional de Protección Civil es el decálogo con el cual se pretende la coordinación, cohesión y eficacia de todas las Administraciones Públicas. La protección civil es una parte importante ante este tipo de instalaciones con una acción ex-post; adoptando medidas de recuperación para restablecer las infraestructuras y los servicios esenciales, paliar los daños derivados de las emergencias prestando la atención sanitaria, psicológica y social de urgencia, además, del refugio y reparación de los daños, restableciendo el servicio.

Los responsables de ellas son los operadores, y pueden ser privados o públicos, quienes deben tener un Plan de Seguridad del Operador y los Planes de Protección Específicos que se determinen. El Centro Nacional de Protección de Infraestructuras Críticas es su guardián y controlará, entre otras cosas, que estos planes cuenten con los contenidos mínimos, así como el modelo en el que deben basarse para la elaboración de los mismos, que serán revisados cada dos años, además, cualquier alteración requerirá la aprobación de este organismo, que siempre estará expectante, de hecho, alguna empresa de alumbrado ya ha sido sancionada por tener un centro de control susceptible de una manipulación intencionada.

Jason Larsen es toda una institución en el mundo hacker, su especialidad es el daño físico a distancia, en este sentido, es importante el sistema SCADA que permite supervisar y controlar a distancia una instalación por un operador. Jason trabajó con el laboratorio nacional de Idaho realizando evaluaciones de seguridad del software que se ejecuta en estas infraestructuras. También ha realizado penetraciones en las redes energéticas de varios países logrando el control de la energía eléctrica durante un corto período de tiempo.

Un informe oficial realizado por OEA y Trend Micro en 25 estados miembros puso de manifiesto el aumento en los ataques cibernéticos contra este tipo de instalaciones, en los últimos años. Cada vez son más sofisticados y su objetivo principal es manipular el equipo a través de un sistema de control industrial con la intención de destruir la información. En Black Hat, Marina Krotofil y Jason Larsen presentaron su estudio, muy interesante, sobre como hackear plantas químicas, inquietante, no cabe duda, ya que podrían dejar la planta sin servicio o crear un nuevo proceso químico, también jugar con los que se están desarrollando variando su pureza o composición.