La OT es el hardware y software que supervisa o controla los equipos, dispositivos, activos y procesos. Esta tecnología es cada vez más crítica por las capacidades que tiene por lo que se ha convertido, cada vez con más frecuencia, en el objetivo de los ciberdelincuentes, aumentado los ataques a la OT, evolucionando desde la interrupción inmediata de los procesos hasta comprometer la integridad de los entornos industriales.
¡Estamos en ciberguerra (o no)!
La gravedad de la situación se entiende mejor si partimos de la base de que el mundo está afrontando una ciberguerra fría con ataques entre las diferentes potencias del mundo y con ataques que cada vez van más allá del mundo digital.
“Es común pensar que la guerra fría terminó con la caída del telón de acero, nada más lejos de la realidad”
Según apunta en una entrevista para Zonamovilidad.es el ingeniero de ventas de la firma especializada en ciberespionaje, CrowdStrike, Miguel Ángel de Castro Simón, “es común pensar que la guerra fría terminó con la caída del telón de acero, nada más lejos de la realidad, ya que simplemente cambió el escenario para pasar de realizarse del mundo físico al mundo virtual”.
Cada día se suceden ciberataques entre países con objetivos tan dispares como el robo de información, demostraciones de fuerzas, ataques de falsa bandera para señalar a otros países o para causar desestabilización.
Por su parte, Hervé Lambert, Global Consumer Operations manager de Panda Security, señala que “estamos viviendo una ciberguerra mundial” porque “hay demasiados intereses y demasiado foco en conseguir información” para “ganar en inteligencia” y advierte que “no nos dicen ni se oye todo lo que, por desgracia, se ve a nivel de pequeñas evidencias”.
“En lugar de ocupar territorios, los objetivos son manipular elecciones, sabotear plantas industriales, controlar a opositores o robar secretos, tecnológicos o militares”
Actualmente se han cambiado los terrenos de batalla, de modo que “ya no se lanzan bombas, sino ataques informáticos” empleando en muchos casos “noticias falsas” y ataques a servidores ajenos para “destruir reputaciones, carreras políticas y/o profesionales, bloqueando páginas web…”. “En lugar de ocupar territorios, los objetivos son manipular elecciones, sabotear plantas industriales, controlar a opositores o robar secretos, tecnológicos o militares”, advierte Lambert.
Sin embargo, no todos los expertos consultados coinciden. Rafael Rosell, director comercial de S2 Grupo, asegura que “no estamos en ciberguerra”. “Existen operaciones hostiles a diario, pero no lo llamaría ciberguerra en el sentido en el que dos estados se enfrentan abierta o encubiertamente entre sí de forma mantenida”, matiza.
“A pesar de que siempre se apunta a ciertos países como los principales protagonistas, hay muchos más implicados, tanto apoyando a un bando en concreto como yendo por libre”
Asimismo, Josep Albors, director de investigación y concienciación de Ontinet (ESET España), asegura que “más que una ciberguerra, lo que observo son ciberescaramuzas, puesto que una guerra implica que esta se declare entre dos o más países. A pesar de que siempre se apunta a ciertos países como los principales protagonistas, hay muchos más implicados, tanto apoyando a un bando en concreto como yendo por libre”.
Gran alianza internacional de la OTAN y la UE contra los ciberataques chinos
Leer más
Si nos vamos a las cifras, un reciente informe (‘Estado nación, ciberconflicto y la red de beneficios’) elaborado por el Dr. Mike McGuire, profesor titular de Criminología de la Universidad de Surrey (Reino Unido) en colaboración con HP señala que se han producido un aumento del 100% de los incidentes “significativos” del estado nación (ciberataques dirigidos o financiados por estados) entre 2017 y 2020.
En este sentido, el estudio asegura que las empresas son el principal objetivo de este ataque (35%), seguido de la ciberdefensa (25%), los medios de comunicaciones y telecomunicaciones (14%), los organismos gubernamentales y reguladores (12%) y las infraestructuras críticas (10%).
“Los atacantes del estado nación están dedicando mucho tiempo y recursos a conseguir una ventaja estratégica en el ámbito cibernético para promover sus intereses nacionales, su capacidad de recopilación de información y su fuerza militar mediante el espionaje, la interrupción y el robo”, explica McGuire.
“No quería que la gente pensara que mi negocio es el negocio del miedo. Y no quería que los malos aprendieran de estas ideas”
"Llegamos al potencial de los ataques ciberterroristas años antes de La Jungla de Cristal 4.0", explica Eugene Kaspersky, cofundador y director general de la empresa de seguridad que lleva su nombre. "Pero en mi empresa estaba prohibido explicarlo a los periodistas, porque no quería abrir la caja de Pandora. No quería que la gente pensara que mi negocio es el negocio del miedo. Y no quería que los malos aprendieran de estas ideas", aseguraba hace unos años en una entrevista con el diario australiano The Sydney Morning Herald.
Son muchos los ejemplos de ciberataques a infraestructuras críticas e industrias que pueden tener un impacto real en la vida de las personas: paralización de los sistemas de agua, interrupción de la energía durante periodos largos, ciberataques a centros de salud, bloqueo de los motores de un avión o de un barco…
“Sólo es cuestión de tiempo que alguien salga herido y que alguien acabe muriendo”
"El problema es que el riesgo de error de cálculo es enorme", reconocía ya en 2018 Robert Hannigan, quien fue director general del Government Communications Headquarters (GCHQ) de Reino Unido entre 2014 a 2017. "Si se empiezan a manipular los sistemas de control industrial, si se empiezan a manipular los sistemas y las redes sanitarias, sólo es cuestión de tiempo que alguien salga herido y que alguien acabe muriendo”, advierte Hannigan. Como asegura Albors, “los ataques dirigidos existen y no debemos obviarlos, puesto que pueden causar grandes daños si logran su objetivo”.
Siguiendo con esa línea, John Shier, Senior Security Advisor de Sophos, defiende en una entrevista con Zonamovilidad.es que “es posible que un ciberataque pueda provocar pérdidas de vidas, pero no creo que tengamos ninguna prueba indiscutible de ello”. En este punto hay ejemplos como el ataque en diciembre de 2015 a la red eléctrica de Ucrania que duró seis horas y que pudo provocar muertes por exposición al frío.
“Los ataques contra las infraestructuras siempre llevarán asociado el riesgo de causar muertes”
Shier también pone como ejemplo el ataque de ransomware contra el Hospital Universitario de Düsseldorf en 2020 en el que inicialmente se pensó que había provocado el fallecimiento de una persona por el retraso en la atención y que posteriormente se determinó que “fue una coincidencia”. “Los ataques contra las infraestructuras siempre llevarán asociado el riesgo de causar muertes, ya sea de forma intencionada o no”, advierte el asesor superior de seguridad de Sophos.
El director comercial de S2 Grupo reconoce que es posible que puedan realizarse ciberataques que terminen impactando en la vida de las personas, “en especial debido a las operaciones contra sistemas ciberfísicos que controlan procesos industriales”. “Un ataque contra dichos entornos, en los que se degrade, destruya o manipule el objetivo tiene consecuencias inmediatas en lo que denominamos vida real”, advierte Rosell.
En este punto explica que “el concepto de arma o ciberarma es muy discutible y discutido”, pero reconoce que “los ataques en un sentido puro de la palabra (lo que llamamos CNA, Computer Network Attack) buscan la degradación, interrupción, destrucción o manipulación del objetivo. Si ese objetivo es un sistema crítico, como en muchos casos son los sistemas operacionales, el ataque contra él puede impactar en su servicio y, por tanto, en la vida real”.
“Los ciberataques existen y es muy simple causar estragos a los gobiernos y, en definitiva, a los usuarios finales de éstos que somos los ciudadanos”, destaca Lambert, y señala que “los servicios de inteligencia están trabajando muy fuerte para evitar grandes riesgos, pero creo que estamos todavía muy lejos de poder evitarlos”.
Albors asevera que “la gravedad del ataque y sus consecuencias dependerá del tipo de ataque y de los sistemas que se vean afectados, pero es una posibilidad real que debemos tener muy en cuenta para evitar que se produzca”.
España en el mercado
“Los ciberatacantes lo ponen siempre muy difícil y están muy bien financiados”
En el enclave internacional, España juega con la ventaja doble de ser parte de la Unión Europea y de la OTAN. “España tiene una buena preparación, pero nunca se está lo suficientemente preparado comparado con las aspiraciones que uno tiene. Además, los ciberatacantes lo ponen siempre muy difícil, están muy bien financiados, son muchos, van contra las barreras tradicionales y tienen mucha experiencia en como sobrepasarlas”, destaca Hervé Lambert, Global Consumer Operations Manager de Panda Security.
“Obviamente no estamos a la cabeza a nivel mundial, pero sí que disponemos de ciertas capacidades al respecto”
Al igual que el resto de países, España cuenta con unidades específicas destinadas a la ciberguerra, tanto para acciones defensivas como de respuesta ante agresiones, siempre desde el paraguas del estamento militar. “Las capacidades de inversión en esta área están, sin embargo, muy lejos de otros países como EEUU, Israel, China y Rusia. Es decir, obviamente no estamos a la cabeza a nivel mundial, pero sí que disponemos de ciertas capacidades al respecto”, explica Miguel Ángel de Castro Simón, ingeniero de ventas de CrowdStrike.
“España, al igual que la mayoría de los países occidentales, sufrirá todo tipo de ciberataques por parte de diferentes grupos criminales y, posiblemente, de otros estados”, apunta Shier. “Para mitigar el daño causado por los ciberataques, la preparación es clave. Como vemos una y otra vez, muchas empresas no están preparadas para enfrentarse a los ciberdelincuentes, y mucho menos a un adversario como un país”, destaca el Senior Security Advisor de Sophos.
Organismos como el Centro Criptológico Nacional (CCN) velan porque estos ataques no tengan un éxito real y ayudan a las empresas y a los organismos afectados, apoyándose en el Instituto Nacional de Ciberseguridad (INCIBE) y en el nuevo Centro de Operación de Ciberseguridad de la Administración General del Estado y sus Organismos Públicos (COCS), a través de los cuales permite no solo conocer los ciberataques, sino bloquearlos antes de que consigan su objetivo.
El Gobierno aprueba un plan de choque de ciberseguridad e impulsan el COCS
Leer más
Según el Índice de Ciberseguridad Global que elabora la Unión Internacional de Telecomunicaciones (UIT) para medir el compromiso con la ciberseguridad de los 194 Estados miembros, España cuenta con una clasificación privilegiada en el cuarto puesto, y tercero a nivel europeo (sólo por detrás de Reino Unido y Estonia).
“Esta clasificación puede discutirse, pero lo cierto es que se ha avanzado con respecto a hace algunos años”, explica el director de investigación y concienciación de ESET España. “Esto no quita que queda aún mucho trabajo por hacer, especialmente en lo que se refiere a los recursos destinados a la ciberseguridad”, puntualiza Albors.
¿Estamos preparados para vivir una ciberguerra masiva?
En muchas ocasiones se ha hablado del impacto que la guerra tiene en la sociedad: hambruna, muerte de civiles, daños materiales…, pero este aspecto no es tan fácil de medir en el mundo digital. Los ciberataques entre países, o instigados por Estados, generalmente no tienen un impacto notable en el día a día de las personas, pero hay casos en los que se bloquean servicios públicos (como los energéticos, de agua, suministro de gas y petróleo, comida…) o empresas y estos sí se notan en la sociedad.
“La sociedad es cada vez más consciente de la situación gracias a la labor informativa que se ha estado realizando estos últimos años por los medios de comunicación y desde las empresas de seguridad”, reconoce Albors. “Sin embargo, aún queda mucho trabajo que hacer para que tanto a nivel de usuario como de instituciones y empresas podamos hablar ya no solo de prevención, sino también de saber cuándo se ha sido víctima u objetivo de un ciberataque”, explica el directivo de ESET España.
Pese a tener una mayor concienciación, el ingeniero de ventas de CrowdStrike asegura que “la sociedad en general aún no está preparada ni dispone de los conocimientos necesarios para afrontar las consecuencias que pueden generar un ataque a gran escala a un país”.
“La mayor lección que debemos aprender es que todavía no estamos preparados para luchar contra el aumento, tanto en cantidad como en intensidad, de ciberdelincuencia”
En este punto, Shier defiende que “la mayor lección que debemos aprender es que todavía no estamos preparados para luchar contra el aumento, tanto en cantidad como en intensidad, de ciberdelincuencia al que nos enfrentamos actualmente”. “Las empresas y los ciudadanos deben mejorar su preparación para defenderse de los ciberdelincuentes que están causando daños en el mundo real en este momento”, aconseja el Senior Security Advisor de Sophos.
Por su parte, el Global Consumer Operations Manager de Panda Security va más allá y se pregunta “hasta qué punto somos conscientes de que vivimos en un estado de ciberguerrilla que, en cualquier momento, podría convertir la realidad en la trama de una novela de ciencia ficción”.
Ante esta situación, el Lead Researcher del equipo GReAT de Kaspersky señala la necesidad de afrontar el panorama de la ciberseguridad con “un enfoque drásticamente diferente: una transición de la ‘ciberseguridad’ a la ‘ciber inmunidad’, un enfoque en el que el coste de un ciberataque sea mayor que el coste de los daños y los sistemas de información sean ‘seguros por diseño’”, es decir, que “cada pieza del sistema funciona de forma segura para lo que se le ha programado y que, si un elemento del sistema se ve comprometido, no afecte al resto del sistema”.
Hace falta un ciber-convenio de Ginebra
El informe de ‘Estado nación, ciberconflicto y la red de beneficios’ pone en relieve también la necesidad de llegar a un tratado sobre los ciberconflictos. Concretamente, el 70% de los expertos consultados en este documento aseguran que es necesario para rebajar las tensiones cibernéticas y evitar que los ataques dirigidos o financiados por estados se vean arrastrados a nuevos actos de ciberconflicto.
A pesar del deseo de alcanzar un pacto internacional como los Convenios de Ginebra, el 15% asegura que llegará en los próximos 5-10 años, mientras que el 37% asegura que tardará entre 10 y 20 años. Por otro lado, un 30% sostiene que no hay perspectivas de ningún tratado cibernético en ningún plazo.
La falta de consenso internacional “haría que cualquier tratado sobre ciberdelincuencia tuviera pocas probabilidades de éxito”
El autor del informe sostiene que “cualquier perspectiva de un cibertratado dependerá de dos factores clave: el alcance y el consenso" y en este sentido apunta que el tratado tendría que especificar las partes incluidas, el rango de jurisdicción involucradas, la actividad que cubriría, la limitación de armas...
Asimismo, McGuire advierte que estos factores pueden ser difíciles de definir y de conseguir por la falta de consenso internacional que “haría que cualquier tratado sobre ciberdelincuencia tuviera pocas probabilidades de éxito”, citando como ejemplo lo ocurrido en la reciente propuesta presentada el pasado mes de mayo ante la ONU sobre ciberdelincuencia que se aprobó con 79 votos a favor frente a 60 en contra y la abstención de otros 33.
Si (
No(
