Hace ya bastante tiempo que la ciberseguridad es motivo de preocupación en entornos militares. Esto no es raro en absoluto, pues desde que se demostró el poder destructivo de provocar fallos en las infraestructuras enemigas mediante ciberataques – ejemplos famosos en Irán con Stuxnet  y el ataque a la red de distribución eléctrica en Ucrania en enero de 2016 – las fuerzas militares consideran objetivos estratégicos todas aquellas susceptibles de sufrir un ciberataque.

 

Todo el que haya visto “American Blackout” puede darse cuenta de la capacidad destructiva de un evento que inutilice la red eléctrica de un área geográfica grande, como puede ser un país. Los problemas no se reducen a los provocados por un fallo de unos minutos en el suministro eléctrico, que es a lo que estamos acostumbrados. Un fallo de varios días en el suministro eléctrico puede dar lugar a corto plazo a pequeños incidentes que se van agravando a medida que pasa el tiempo hasta desembocar en carestía de elementos vitales como agua o comida y la aparición de pillaje y disturbios por el acceso a servicios fundamentales.

 

El trastorno que provoca un gran apagon ha sido retratado en este documental de National Geographic y lo que podemos intuir es que a pesar de mostrar con crudeza muchas de las situaciones mostradas se quedan cortas y la realidad probablemente sería mucho más dura que el escenario dibujado. No en vano, el vídeo comienza con una cita del Dr. Richard Andres, del US National War College, en la que manifiesta: Un ciberataque masivo y bien coordinado en la red eléctrica podría devastar la economía y causar pérdida de vidas humanas a gran escala.

 

Como podemos ver, tanto la posibilidad como las consecuencias de un fallo en las redes eléctricas están en la mente de militares y productores cinematográficos. ¿Estamos asistiendo a un renacimiento del cine de catástrofes? ¿Terminará esto en un apocalipsis zombie?

 

Conviene mantener la calma, pues en el lado de la tecnología que se aplica en las redes eléctricas también hay preocupación, y los principales promotores de iniciativas tecnológicas han tomado cartas en el asunto, no ya por las posibilidades de un ciberataque, sino por la sucesión de fallos en algunas de las redes durante la primera década del siglo. Así, la publicación de documentos ( 1, 2, 3 ) sobre las protecciones en las redes eléctricas y la aplicación de tecnologías que permitan aislar los fallos son la réplica a esta alarma.

 

Pero a pesar de los esfuerzos que puedan hacer los proveedores y fabricantes de tecnología, siempre están aquellos que buscan distorsionar el buen funcionamiento mediante ataques cibernéticos. Richard A. Clarke, en su libro Cyber War hace una descripción muy precisa y realista de los objetivos militares de la guerra cibernética así como de diferentes capacidades de grupos internacionales relacionados con estados y naciones, y subvencionados por estos. Los objetivos militares de la guerra cibernética son las infraestructuras y obviamente la red eléctrica es uno de los más importantes.

 

El riesgo en ciberseguridad se calcula mediante el binomio amenaza x vulnerabilidad y parece claro que las amenazas sobre las redes eléctricas existen. ¿Qué podemos decir de las vulnerabilidades? ¿Existen? ¿Son grandes? Desafortunadamente, la respuesta es afirmativa en ambos casos. Los sistemas de control de las redes eléctricas están basados en sistemas de control industrial cuya seguridad se basa en la disponibilidad a costa de perder robustez en medios para controlar el acceso indiscriminado. Muchos de ellos son muy antiguos y cambiarlos o sustituirlos pueden suponer habilitar ventanas de servicio que provoquen trastornos tan importantes como los que causaría un ataque intencionado. Así pues, no estamos protegidos contra los “malos” y la protección no resulta tarea fácil.

 

¿Pero quienes son los malos? ¿Quién querría realizar un ataque a la red de distribución de electricidad de un país? En la actualidad existen movimientos geopolíticos que luchan por conseguir poder, relevancia, adhesión social e incluso provocar o derrotar a un posible contendiente antes de comenzar cualquier contienda convencional. Un ataque cibernético exitoso puede ser determinante en una victoria, antes incluso de comenzar cualquier guerra. Pudede decirse lo mismo sobre movimientos sociales, religiosos, etc. Por lo tanto, la lista de posibles enemigos es grande y las motivaciones, variopintas.

 

La buena noticia es que los factores mitigantes del riesgo se basan en la capacidad de defenderse ante la amenaza, capacidad de identificar los elementos vulnerables, de protegerlos, de detectar los posibles ataques, de generar una respuesta para contener o repeler los ataques y, finalmente, de recuperar la situación con el nivel de servicio previo al ataque. Estas son capacidades recogidas en el framework de ciberseguridad del NIST para infraestructuras críticas y constituyen las vías de trabajo para lograr un nivel de riesgo suficientemente bajo. La capacidad se coloca en el denominador de la operación y nos permite, mientras aumentamos estas capacidades, reducir el riesgo.

 

Aun así, hay riesgos identificados que resultan muy difíciles de mitigar. Las tácticas para introducir un malware en una infraestructura crítica tienen dos vías fundamentales sobre las que es necesario levantar barreras: el factor humano explotable mediante técnicas de ingeniería social y la baja capacidad de controlar el acceso en los sistemas de control industrial. Para fortalecer la barrera humana existen herramientas para concienciar a las personas implicadas en el ciclo de vida de las infraestructuras críticas y capacitarlos mediante juegos de simulación. Para fortalecer la barrera del control de acceso existen medidas compensatorias capaces de mitigar el riesgo, como por ejemplo los elementos de seguridad perimetral para sistemas de control industrial.

 

En mi opinión, las infraestructuras como las redes de distribución eléctrica son especialmente vulnerables y constituyen un objetivo claro para un ciberataque y las capacidades para mitigar el riesgo se están desarrollando gracias al conocimiento que proporcionan los sistemas de inteligencia de vulnerabilidades y amenazas aunque todavía queda un largo camino por recorrer antes de proclamar que “American  Blackout” es solamente una historia de ficción.