La industria de la ciberseguridad y de la tecnología avanzan de la mano para proteger las innovaciones que se van introduciendo, sin embargo, también lo hace la ciberdelincuencia. Según previsiones de la consultora Gartner, se espera que para 2025, los ciberatacantes conviertan en armas los entornos de tecnología operativa (OT) para dañar o incluso matar a seres humanos.
La OT es el hardware y software que supervisa o controla los equipos, dispositivos, activos y procesos. Esta tecnología es cada vez más crítica por las capacidades que tiene por lo que se ha convertido, cada vez con más frecuencia, en el objetivo de los ciberdelincuentes, aumentado los ataques a la OT, evolucionando desde la interrupción inmediata de los procesos hasta comprometer la integridad de los entornos industriales.
La gravedad de la situación se entiende mejor si partimos de la base de que el mundo está afrontando una ciberguerra fría con ataques entre las diferentes potencias del mundo y con ataques que cada vez van más allá del mundo digital.
“Es común pensar que la guerra fría terminó con la caída del telón de acero, nada más lejos de la realidad”
Según apunta en una entrevista para Zonamovilidad.es el ingeniero de ventas de la firma especializada en ciberespionaje, CrowdStrike, Miguel Ángel de Castro Simón, “es común pensar que la guerra fría terminó con la caída del telón de acero, nada más lejos de la realidad, ya que simplemente cambió el escenario para pasar de realizarse del mundo físico al mundo virtual”.
Cada día se suceden ciberataques entre países con objetivos tan dispares como el robo de información, demostraciones de fuerzas, ataques de falsa bandera para señalar a otros países o para causar desestabilización.
Por su parte, Hervé Lambert, Global Consumer Operations manager de Panda Security, señala que “estamos viviendo una ciberguerra mundial” porque “hay demasiados intereses y demasiado foco en conseguir información” para “ganar en inteligencia” y advierte que “no nos dicen ni se oye todo lo que, por desgracia, se ve a nivel de pequeñas evidencias”.
“En lugar de ocupar territorios, los objetivos son manipular elecciones, sabotear plantas industriales, controlar a opositores o robar secretos, tecnológicos o militares”
Actualmente se han cambiado los terrenos de batalla, de modo que “ya no se lanzan bombas, sino ataques informáticos” empleando en muchos casos “noticias falsas” y ataques a servidores ajenos para “destruir reputaciones, carreras políticas y/o profesionales, bloqueando páginas web…”. “En lugar de ocupar territorios, los objetivos son manipular elecciones, sabotear plantas industriales, controlar a opositores o robar secretos, tecnológicos o militares”, advierte Lambert.
Sin embargo, no todos los expertos consultados coinciden. Rafael Rosell, director comercial de S2 Grupo, asegura que “no estamos en ciberguerra”. “Existen operaciones hostiles a diario, pero no lo llamaría ciberguerra en el sentido en el que dos estados se enfrentan abierta o encubiertamente entre sí de forma mantenida”, matiza.
“A pesar de que siempre se apunta a ciertos países como los principales protagonistas, hay muchos más implicados, tanto apoyando a un bando en concreto como yendo por libre”
Asimismo, Josep Albors, director de investigación y concienciación de Ontinet (ESET España), asegura que “más que una ciberguerra, lo que observo son ciberescaramuzas, puesto que una guerra implica que esta se declare entre dos o más países. A pesar de que siempre se apunta a ciertos países como los principales protagonistas, hay muchos más implicados, tanto apoyando a un bando en concreto como yendo por libre”.
Si nos vamos a las cifras, un reciente informe (‘Estado nación, ciberconflicto y la red de beneficios’) elaborado por el Dr. Mike McGuire, profesor titular de Criminología de la Universidad de Surrey (Reino Unido) en colaboración con HP señala que se han producido un aumento del 100% de los incidentes “significativos” del estado nación (ciberataques dirigidos o financiados por estados) entre 2017 y 2020.
En este sentido, el estudio asegura que las empresas son el principal objetivo de este ataque (35%), seguido de la ciberdefensa (25%), los medios de comunicaciones y telecomunicaciones (14%), los organismos gubernamentales y reguladores (12%) y las infraestructuras críticas (10%).
“Los atacantes del estado nación están dedicando mucho tiempo y recursos a conseguir una ventaja estratégica en el ámbito cibernético para promover sus intereses nacionales, su capacidad de recopilación de información y su fuerza militar mediante el espionaje, la interrupción y el robo”, explica McGuire.
En este contexto de ciberguerra o de enfrentamientos entre países en el mundo digital, la defensa de las infraestructuras críticas (aquellas indispensables para el correcto funcionamiento del país, como sistemas sanitarios, energéticos, telecomunicaciones, alimentación, agua, etc…) gana cada vez más relevancia.
La hiperconectividad actual en la que vivimos, incrementada a raíz de la pandemia de la COVID-19, ha llevado a tener conectados a la red los grandes activos de los países y de las empresas. Más allá de dispositivos sencillos como los wearables con capacidades médicas capaces de medir pulsaciones, oxigenación en sangre y que registran las constantes vitales, ya hay fenómenos menos conocidos como los primeros ciborgs (humanos que mejoran sus capacidades mediante tecnología), pero también aspectos menos sonados como los cuerpos biónicos y las prótesis.
La combinación de cuerpo humano con tecnología evidencia aún más la necesaria protección de los sistemas ya que un mal funcionamiento de estos equipos puede dañar gravemente la salud de la persona o incluso causar su muerte.
“Es importante que cualquier riesgo de seguridad que pueda ser explotado por los atacantes se minimice mediante la investigación”
“Las tecnologías sanitarias conectadas forman parte del mundo del IoT que, además de brindar muchas oportunidades, conlleva una serie de riesgos”, advierte Dani Creus, Lead Researcher del equipo GReAT de Kaspersky. “Por lo tanto, es importante que cualquier riesgo de seguridad que pueda ser explotado por los atacantes se minimice mediante la investigación y el tratamiento de los problemas de seguridad en los productos actuales y en la infraestructura que les dan soporte”, señala Creus.
Precisamente Kasperksy aprovechó su presencia en el MWC Barcelona 2019 para mostrar una investigación sobre la ciberseguridad de los dispositivos biónicos advirtiendo que un sistema mal securizado permitiría a un ciberdelincuente acceder al dispositivo, en aquel caso un brazo biónico, a través de la conexión con la cloud, siendo capaz el cibercriminal de acceder a información sensible e incluso a manipular el equipo, lo que puede resultar en una situación que puede ser mortal.
En este sentido, de Castro Simón reconoce que “hace años que se han creado interacciones desde el mundo virtual al mundo físico”. Actualmente, existen diferentes formas de hacer que sistemas informáticos puedan causar la muerte a personas. Entre ellas, el ingeniero de ventas de CrowdStrike, señala los drones no tripulados, capaces de detectar y eliminar objetivos de forma autónoma hasta pruebas de concepto que permiten, por ejemplo, modificar el funcionamiento de un marcapasos para que no realice las acciones que se espera de él y pueda provocar el fallecimiento de su portador.
“Es sencillo imaginar diferentes formas de causar víctimas de forma selectiva o masiva”
Asimismo, la realidad pone en relieve la dependencia directa que tenemos actualmente de la tecnología y es que ya en 2010 con el descubrimiento de Stuxnet se constató que es posible modificar los sistemas OT hasta el punto de hacerlos estallar. “Hay pruebas de concepto que han demostrado, por ejemplo, que es posible interactuar con aviones comerciales o militares, barcos, e incluso los propios vehículos que se usan cada día”, por lo que “es sencillo imaginar diferentes formas de causar víctimas de forma selectiva o masiva en el caso de hacer explotar una central nuclear o simplemente modificando el funcionamiento de centrales de depuración de agua”, asegura de Castro Simón.
En esta línea, Lambert defiende que es algo que “ya ha pasado y que está pasando”, pero matiza que “no creo que se mate a mucha gente de forma masiva, creo que es más un tema de saber lo que hace mi vecino conseguir información y datos” para posteriormente realizar los ataques.
“En una empresa se pueden producir accidentes mortales si los sistemas de seguridad son manipulados o desconectados por ciberatacantes”
Un informe de Kaspersky ‘(El estado de la ciberseguridad industrial en la era de la de la digitalización’) advertía en septiembre de 2020 que los accidentes y muertes causadas por sustancias peligrosas (32%) son señalados a nivel global como los mayores desafíos para la ciberseguridad de los sistemas de control industrial (ICS).
“En una empresa se pueden producir accidentes mortales si los sistemas de seguridad son manipulados o desconectados por ciberatacantes”, advierte Creu. “Otro ejemplo de cómo los ciberataques a las infraestructuras críticas pueden influir en las personas, lo encontramos en el ataque a la red eléctrica ucraniana que dejó sin electricidad a un gran número de personas”, apunta el investigador jefe del equipo GReAT de Kaspersky.
De esta manera, los incidentes de seguridad en OT y en otros sistemas ciberfísicos (CPS) tiene, según Gartner, tres motivaciones principales: daño real, vandalismo comercial y vandalismo reputacional.
Esto se traduce en un impacto financiero y, según la consultora estadounidense, el impacto financiero de los ataques CPS que provocan víctimas mortales superarán en 2023 los 50.000 millones de dólares, incluso sin tener en cuenta el valor de las vidas humanas (pero sí costes de indemnizaciones, litigios, seguros, multas, reputación…) y advierte que “la mayoría de los directores generales serán personalmente responsables de estos incidentes”.
Al igual que con el mundo de la robótica y la rebelión de las máquinas, también los ciberataques han llegado al mundo del cine. Son muchas las películas que se basan en grandes ciberataques para conseguir códigos secretos, información confidencial o para atacar silos nucleares, pero más allá de eso, también han tenido cabida en la gran pantalla cuestiones más civiles.
Un ejemplo de ello es ‘La Jungla 4.0’ (originalmente Life Free or Die Hard) en la que ciberdelincuentes se hacen con el control de los sistemas de energía, gas, distribución, control del tráfico y otros sistemas clave para posteriormente desconectarlos y crear el caos. Este caso, descrito como una “guía de usuario para ciberterroristas” por Eugene Kaspersky, ha ganado terreno con ejemplos reales como el ciberataque a las operaciones de Colonial Pipeline en Estados Unidos y al proveedor de carnes JBS.
“No quería que la gente pensara que mi negocio es el negocio del miedo. Y no quería que los malos aprendieran de estas ideas”
"Llegamos al potencial de los ataques ciberterroristas años antes de La Jungla de Cristal 4.0", explica Eugene Kaspersky, cofundador y director general de la empresa de seguridad que lleva su nombre. "Pero en mi empresa estaba prohibido explicarlo a los periodistas, porque no quería abrir la caja de Pandora. No quería que la gente pensara que mi negocio es el negocio del miedo. Y no quería que los malos aprendieran de estas ideas", aseguraba hace unos años en una entrevista con el diario australiano The Sydney Morning Herald.
Son muchos los ejemplos de ciberataques a infraestructuras críticas e industrias que pueden tener un impacto real en la vida de las personas: paralización de los sistemas de agua, interrupción de la energía durante periodos largos, ciberataques a centros de salud, bloqueo de los motores de un avión o de un barco…
“Sólo es cuestión de tiempo que alguien salga herido y que alguien acabe muriendo”
"El problema es que el riesgo de error de cálculo es enorme", reconocía ya en 2018 Robert Hannigan, quien fue director general del Government Communications Headquarters (GCHQ) de Reino Unido entre 2014 a 2017. "Si se empiezan a manipular los sistemas de control industrial, si se empiezan a manipular los sistemas y las redes sanitarias, sólo es cuestión de tiempo que alguien salga herido y que alguien acabe muriendo”, advierte Hannigan. Como asegura Albors, “los ataques dirigidos existen y no debemos obviarlos, puesto que pueden causar grandes daños si logran su objetivo”.
Siguiendo con esa línea, John Shier, Senior Security Advisor de Sophos, defiende en una entrevista con Zonamovilidad.es que “es posible que un ciberataque pueda provocar pérdidas de vidas, pero no creo que tengamos ninguna prueba indiscutible de ello”. En este punto hay ejemplos como el ataque en diciembre de 2015 a la red eléctrica de Ucrania que duró seis horas y que pudo provocar muertes por exposición al frío.
“Los ataques contra las infraestructuras siempre llevarán asociado el riesgo de causar muertes”
Shier también pone como ejemplo el ataque de ransomware contra el Hospital Universitario de Düsseldorf en 2020 en el que inicialmente se pensó que había provocado el fallecimiento de una persona por el retraso en la atención y que posteriormente se determinó que “fue una coincidencia”. “Los ataques contra las infraestructuras siempre llevarán asociado el riesgo de causar muertes, ya sea de forma intencionada o no”, advierte el asesor superior de seguridad de Sophos.
El director comercial de S2 Grupo reconoce que es posible que puedan realizarse ciberataques que terminen impactando en la vida de las personas, “en especial debido a las operaciones contra sistemas ciberfísicos que controlan procesos industriales”. “Un ataque contra dichos entornos, en los que se degrade, destruya o manipule el objetivo tiene consecuencias inmediatas en lo que denominamos vida real”, advierte Rosell.
En este punto explica que “el concepto de arma o ciberarma es muy discutible y discutido”, pero reconoce que “los ataques en un sentido puro de la palabra (lo que llamamos CNA, Computer Network Attack) buscan la degradación, interrupción, destrucción o manipulación del objetivo. Si ese objetivo es un sistema crítico, como en muchos casos son los sistemas operacionales, el ataque contra él puede impactar en su servicio y, por tanto, en la vida real”.
“Los ciberataques existen y es muy simple causar estragos a los gobiernos y, en definitiva, a los usuarios finales de éstos que somos los ciudadanos”, destaca Lambert, y señala que “los servicios de inteligencia están trabajando muy fuerte para evitar grandes riesgos, pero creo que estamos todavía muy lejos de poder evitarlos”.
Albors asevera que “la gravedad del ataque y sus consecuencias dependerá del tipo de ataque y de los sistemas que se vean afectados, pero es una posibilidad real que debemos tener muy en cuenta para evitar que se produzca”.
“Los ciberatacantes lo ponen siempre muy difícil y están muy bien financiados”
En el enclave internacional, España juega con la ventaja doble de ser parte de la Unión Europea y de la OTAN. “España tiene una buena preparación, pero nunca se está lo suficientemente preparado comparado con las aspiraciones que uno tiene. Además, los ciberatacantes lo ponen siempre muy difícil, están muy bien financiados, son muchos, van contra las barreras tradicionales y tienen mucha experiencia en como sobrepasarlas”, destaca Hervé Lambert, Global Consumer Operations Manager de Panda Security.
“Obviamente no estamos a la cabeza a nivel mundial, pero sí que disponemos de ciertas capacidades al respecto”
Al igual que el resto de países, España cuenta con unidades específicas destinadas a la ciberguerra, tanto para acciones defensivas como de respuesta ante agresiones, siempre desde el paraguas del estamento militar. “Las capacidades de inversión en esta área están, sin embargo, muy lejos de otros países como EEUU, Israel, China y Rusia. Es decir, obviamente no estamos a la cabeza a nivel mundial, pero sí que disponemos de ciertas capacidades al respecto”, explica Miguel Ángel de Castro Simón, ingeniero de ventas de CrowdStrike.
“España, al igual que la mayoría de los países occidentales, sufrirá todo tipo de ciberataques por parte de diferentes grupos criminales y, posiblemente, de otros estados”, apunta Shier. “Para mitigar el daño causado por los ciberataques, la preparación es clave. Como vemos una y otra vez, muchas empresas no están preparadas para enfrentarse a los ciberdelincuentes, y mucho menos a un adversario como un país”, destaca el Senior Security Advisor de Sophos.
Organismos como el Centro Criptológico Nacional (CCN) velan porque estos ataques no tengan un éxito real y ayudan a las empresas y a los organismos afectados, apoyándose en el Instituto Nacional de Ciberseguridad (INCIBE) y en el nuevo Centro de Operación de Ciberseguridad de la Administración General del Estado y sus Organismos Públicos (COCS), a través de los cuales permite no solo conocer los ciberataques, sino bloquearlos antes de que consigan su objetivo.
Según el Índice de Ciberseguridad Global que elabora la Unión Internacional de Telecomunicaciones (UIT) para medir el compromiso con la ciberseguridad de los 194 Estados miembros, España cuenta con una clasificación privilegiada en el cuarto puesto, y tercero a nivel europeo (sólo por detrás de Reino Unido y Estonia).
“Esta clasificación puede discutirse, pero lo cierto es que se ha avanzado con respecto a hace algunos años”, explica el director de investigación y concienciación de ESET España. “Esto no quita que queda aún mucho trabajo por hacer, especialmente en lo que se refiere a los recursos destinados a la ciberseguridad”, puntualiza Albors.
En muchas ocasiones se ha hablado del impacto que la guerra tiene en la sociedad: hambruna, muerte de civiles, daños materiales…, pero este aspecto no es tan fácil de medir en el mundo digital. Los ciberataques entre países, o instigados por Estados, generalmente no tienen un impacto notable en el día a día de las personas, pero hay casos en los que se bloquean servicios públicos (como los energéticos, de agua, suministro de gas y petróleo, comida…) o empresas y estos sí se notan en la sociedad.
“La sociedad es cada vez más consciente de la situación gracias a la labor informativa que se ha estado realizando estos últimos años por los medios de comunicación y desde las empresas de seguridad”, reconoce Albors. “Sin embargo, aún queda mucho trabajo que hacer para que tanto a nivel de usuario como de instituciones y empresas podamos hablar ya no solo de prevención, sino también de saber cuándo se ha sido víctima u objetivo de un ciberataque”, explica el directivo de ESET España.
Pese a tener una mayor concienciación, el ingeniero de ventas de CrowdStrike asegura que “la sociedad en general aún no está preparada ni dispone de los conocimientos necesarios para afrontar las consecuencias que pueden generar un ataque a gran escala a un país”.
“La mayor lección que debemos aprender es que todavía no estamos preparados para luchar contra el aumento, tanto en cantidad como en intensidad, de ciberdelincuencia”
En este punto, Shier defiende que “la mayor lección que debemos aprender es que todavía no estamos preparados para luchar contra el aumento, tanto en cantidad como en intensidad, de ciberdelincuencia al que nos enfrentamos actualmente”. “Las empresas y los ciudadanos deben mejorar su preparación para defenderse de los ciberdelincuentes que están causando daños en el mundo real en este momento”, aconseja el Senior Security Advisor de Sophos.
Por su parte, el Global Consumer Operations Manager de Panda Security va más allá y se pregunta “hasta qué punto somos conscientes de que vivimos en un estado de ciberguerrilla que, en cualquier momento, podría convertir la realidad en la trama de una novela de ciencia ficción”.
Ante esta situación, el Lead Researcher del equipo GReAT de Kaspersky señala la necesidad de afrontar el panorama de la ciberseguridad con “un enfoque drásticamente diferente: una transición de la ‘ciberseguridad’ a la ‘ciber inmunidad’, un enfoque en el que el coste de un ciberataque sea mayor que el coste de los daños y los sistemas de información sean ‘seguros por diseño’”, es decir, que “cada pieza del sistema funciona de forma segura para lo que se le ha programado y que, si un elemento del sistema se ve comprometido, no afecte al resto del sistema”.
El informe de ‘Estado nación, ciberconflicto y la red de beneficios’ pone en relieve también la necesidad de llegar a un tratado sobre los ciberconflictos. Concretamente, el 70% de los expertos consultados en este documento aseguran que es necesario para rebajar las tensiones cibernéticas y evitar que los ataques dirigidos o financiados por estados se vean arrastrados a nuevos actos de ciberconflicto.
A pesar del deseo de alcanzar un pacto internacional como los Convenios de Ginebra, el 15% asegura que llegará en los próximos 5-10 años, mientras que el 37% asegura que tardará entre 10 y 20 años. Por otro lado, un 30% sostiene que no hay perspectivas de ningún tratado cibernético en ningún plazo.
La falta de consenso internacional “haría que cualquier tratado sobre ciberdelincuencia tuviera pocas probabilidades de éxito”
El autor del informe sostiene que “cualquier perspectiva de un cibertratado dependerá de dos factores clave: el alcance y el consenso" y en este sentido apunta que el tratado tendría que especificar las partes incluidas, el rango de jurisdicción involucradas, la actividad que cubriría, la limitación de armas...
Asimismo, McGuire advierte que estos factores pueden ser difíciles de definir y de conseguir por la falta de consenso internacional que “haría que cualquier tratado sobre ciberdelincuencia tuviera pocas probabilidades de éxito”, citando como ejemplo lo ocurrido en la reciente propuesta presentada el pasado mes de mayo ante la ONU sobre ciberdelincuencia que se aprobó con 79 votos a favor frente a 60 en contra y la abstención de otros 33.