El sistema eléctrico está en peligro. La digitalización de las redes tiene grandes ventajas, pero ha creado también nuevas debilidades. Militares, ingenieros y otros expertos advierten. la posibilidad de un gran ataque ciberterrorista es muy real. Y abre la puerta a un escenario apocalíptico. ¿Estamos preparados?

La presa está situada a 30 kilómetros de Nueva York.Su sistema de control cayó en manos de ‘hackers’ iraníes en 2013, un incidente que la Casa Blanca había mantenido en secreto hasta ahora.

Los piratas informáticos tuvieron la posibilidad de abrir las compuertas de la presa de Rye Brook con solo apretar una tecla de un ordenador a miles de kilómetros, según ha revelado The Wall Street Journal. No lo hicieron, pero no porque alguien se lo impidiese. Da la impresión de que solo estaban probando a ver de lo que eran capaces.

Este incidente es apenas uno entre docenas. Uno de los más notables ha sido el ataque a la compañía eléctrica Calpine, que posee 82 plantas en Estados Unidos y Canadá. Los expertos en ciberseguridad lo consideran una amenaza persistente que podría estar en marcha todavía y que habría afectado también al gigante petrolífero mexicano Pemex y a la intranet del Cuerpo de Marines. Los hackers usan un virus troyano que busca puertas traseras para colarse en el sistema; una vez dentro, realizan capturas de pantalla y envían las imágenes vía FTP (un protocolo de transferencia de archivos) a servidores extranjeros, en este caso, miles de mapas y diagramas de subestaciones eléctricas, además de contraseñas.

UN APAGÓN DE COSTA A COSTA.

La Comisión Federal de Energía considera que un ataque coordinado a nueve centrales eléctricas podría causar un efecto dominó en la red estadounidense. La consecuencia. un apagón de costa a costa. El teniente general James Clapper, director de la Inteligencia Nacional, alertó en septiembre de que Estados Unidos debe estar preparado para un ataque masivo, a escala Armagedón . No resulta muy tranquilizador.

Tampoco lo es que el general Keith Alexander, antiguo jefe de la NSA, advierta de que la falta de previsión para frenar un ataque informático relámpago contra refinerías y la red eléctrica, quizá acompañado de un golpe contra el sistema de pagos de los grandes bancos, dejaría a millones de personas hambrientas, con frío y en la oscuridad .

La preocupación no es exclusiva de Estados Unidos. En España, el Centro Nacional para la Protección de las Infraestructuras Críticas (CNPIC), del Ministerio del Interior, gestionó en 2015 al menos 63 ataques de alto nivel contra operadores esenciales de transporte, gas, petróleo, electricidad, agua, industria química, nuclear, alimentación, banca El mapa del riesgo español tiene 93 operadores de infraestructuras críticas. El 80 por ciento son empresas privadas.

El incidente más importante fue una delicada amenaza de seguridad en el sector energético que, de haberse producido, podría haber afectado a un servicio esencial consumido en miles de hogares y empresas . El CNPIC también ha reforzado la atención en el transporte, después del caos ferroviario producido por un sabotaje en la línea del AVE que paralizó 40 trenes y afectó a 13.000 pasajeros en octubre, a pesar de que no fuera un ataque informático, sino físico, pues los asaltantes cortaron los cables de fibra óptica que comunican al maquinista con el centro de control. En todo caso, no fue un robo, pues el valor de la fibra era despreciable.

LA NUEVA DEBILIDAD.

Los expertos alertan de la combinación in situ y virtual como una opción novedosa para el medio centenar de grupos terroristas que operan en el mundo. No obstante, el ciberterrorismo capaz de producir daños físicos con herramientas exclusivamente digitales ya es factible. Y lo es por una debilidad que hasta hace unos años no existía. Y que puede convertir a las infraestructuras críticas en el talón de Aquiles de nuestras sociedades. Y al sector eléctrico, del que dependen todos los demás, en objetivo prioritario. Esta debilidad se llama sistema SCADA.

SCADA significa supervisión, control y adquisición de datos. Y es un software que permite controlar procesos industriales a distancia. Cualquier gran industria basa su funcionamiento en un sistema SCADA. Una compañía eléctrica puede saber en tiempo real si se produce un cortocircuito o una sobrecarga en la más remota subestación, si hay un cable pelado en el subsuelo de un barrio o el viento ha derribado una torre de alta tensión perdida en una montaña. Debido a los sistemas SCADA, nos han puesto todos esos contadores digitales; ni siquiera hace falta que se desplace un técnico para hacer la lectura del consumo. Todo está interconectado, automatizado y centralizado. Y hacen falta muchos menos trabajadores para tareas de supervisión, reparación, mantenimiento ¿Para qué los necesitan si con un ordenador o un teléfono móvil se puede controlar el tinglado? Y si algo falla, el sistema suele ser lo bastante inteligente como para tomarse un respiro, hacerse un chequeo, reiniciarse

UN PELIGRO DE BOLSILLO.

Pero los sistemas SCADA se conectan a Internet. Y todo lo que está conectado a Internet es susceptible de sufrir ataques -comenta Almudena Abolafia-, de la consultora Everis. Los smartphones y las tabletas presentan cada vez más funciones similares a las que se pueden encontrar en un ordenador, por lo que los usuarios tienden a vincular sus cuentas con dichos terminales para trabajar desde cualquier lugar y en cualquier momento. El hecho de tener en nuestros bolsillos toda la información que deseemos es muy valioso, pero también muy peligroso .

Y otro peligro añadido. Muy pocos elementos digitales de las infraestructuras críticas fueron diseñados o instalados con la seguridad como prioridad -explica el capitán de corbeta Carlos Garau Pérez-Crespo en la Revista General de Marina-. Gran parte de la infraestructura se instaló hace muchos años, antes de la existencia del control por ordenador o antes de que la seguridad de las redes informáticas fuera un asunto serio. La mayoría de los sistemas SCADA están plagados de vulnerabilidades .

Con frecuencia, estos sistemas están conectados a Internet para transmitir datos e instrucciones en lugar de usar sus propias redes, como se hacía antes del boom de las nuevas tecnologías. Es decir. Si se accede a estos sistemas, se puede controlar la instalación -advierte el capitán Garau Pérez-Crespo, aunque añade un matiz tranquilizador-. No parece probable que, pese a la capacidad técnica de realizataque por el ciberespacio, se elija esta vía si es más fiable o barato realizar uno convencional, salvo que exista voluntad de ocultar el ataque, la identidad del atacante o se quiera inculpar a un tercero. O bien se busque un efecto psicológico y mediático .

CON UN SIMPLE NAVEGADOR.

Antonio Villalón, director de seguridad de S2 Grupo, ha realizado varios informes sobre la protección de infraestructuras críticas en España. En uno de ellos quisimos saber hasta dónde podría llegar un atacante sin un objetivo específico ni conocimientos o herramientas avanzadas, solo con una conexión a Internet . ¿El resultado? La verdad es que asusta un poco. protocolos inseguros (el 75 por ciento), más de mil cacharros de todo tipo accesibles desde Internet, en muchos casos sin autenticación, y una sensación de riesgo cero para el atacante . ¿Son estos entornos realmente vulnerables? No tienen por qué serlo, pero que se llegue con un simple navegador a un sistema de control es preocupante .

SCADA es una puerta. Y cualquier intruso intentará abrirla. Además, por muchas puertas que pongas Que le pregunten a Sony, que tenía 43 cortafuegos blindando su sistema informático. Bastó un resquicio para que los hackers irrumpieran en él , explica Ted Koppel, presentador estrella de ABC News durante 25 años, que acaba de publicar Lights out. A cyberattack, a nation unprepared, surviving the aftermath (Editorial Crown), libro en el que describe las consecuencias de un ciberataque a gran escala a la red eléctrica estadounidense y que ha llegado a la lista de superventas de The New York Times. Hay planes de emergencia para terremotos y huracanes, olas de calor y tormentas de nieve. Y para apagones de unos pocos días. Pero no estamos preparados para que un área muy poblada se quede sin electricidad durante semanas o meses . El panorama que Koppel dibuja es realmente apocalíptico. Oscuridad Las luces se apagan, los electrodomésticos dejan de funcionar. Cuando las baterías se agotan, también dejan de funcionar móviles, radios portátiles, linternas

El personal de emergencias se pasa los primeros días rescatando a gente de los ascensores. En las ciudades, el agua sube por las cañerías de los edificios durante unos días por el impulso de la gravedad, pero pronto no sale agua de los grifos. El agua embotellada se agota. Los supermercados y farmacias se vacían. Los cajeros no funcionan, ¿pero de qué sirve el dinero si no hay nada que comprar? Los generadores diésel aún proporcionan luz y electricidad, pero su combustible se agota. En las estaciones de servicio no se puede bombear carburante. Los enfermos conectados a máquinas mueren. La policía ha tomado las calles, pero dispone de poca información. Vivimos en una sociedad que considera la comunicación instantánea como un derecho. Pero si el tejido de correos, tuits, llamadas telefónicas se rompe, los ciudadanos quedan abandonados a su suerte .

CUATRO AVISOS DE LO QUE PUEDE SUCEDER

1. Santiago de Chile

Durante una semana, 13 millones de personas el 80 por ciento de los chilenos se quedaron sin luz tras el terremoto del 27 de febrero de 2010. Hubo pérdidas por 30.000 millones de dólares.

2. Barcelona

El 23 de julio de 2007, un incendio en una subestación dejó sin electricidad a 283.000 personas durante 58 horas. Se produjeron más de 62 millones de euros en pérdidas.

3. Sao Paulo

Más de 97 millones de personas se quedaron sin luz en todo el sur y sureste de Brasil en marzo de 2009. Fue el tercer gran apagón que sufrió el país en la pasada década.

4. Nueva York

El más célebre de la historia. El 9 de noviembre de 1965 paralizó la ciudad durante 14 horas. Nueve meses después hubo una cantidad de nacimientos más alta de lo normal.

EL MUNDO, EN PELIGRO

Desde los contadores de la luz hasta semáforos, hospitales

La protección de infraestructuras críticas es tan antigua como la humanidad. Hace cinco mil años los egipcios protegían sus depósitos de cereal con gatos para evitar que los ratones se comieran el grano , explica Antonio Villalón, de S2 Grupo. Hoy, el gran dolor de cabeza es la ciberseguridad.

En la actualidad, la red eléctrica depende de un sistema computarizado que mantiene un equilibrio perfecto entre oferta y demanda. Los expertos consideran que los problemas en este ámbito derivan de una transición apresurada hacia la digitalización, una renovación para la cual estas infraestructuras, construidas muchas de ellas hace décadas, no estaban preparadas. Hay algunas que incluso utilizan softwares tan desfasados como Windows 95 o Fortran, un lenguaje de los años cincuenta. La prisa por instalar contadores digitales, termostatos y otros aparatos inteligentes ha provocado, como consecuencia, una larga lista de vulnerabilidades. Por ejemplo, los contadores electrónicos miden el consumo y lo comparten con la red, que usa esa información para ajustar la producción, pero estos contadores tienen un diseño simple y se pueden hackear.

Para el control a distancia se utilizaban satélites, microondas o radio. Ahora, todo se realiza a través de telefonía 3G y 4G, mediante un módem celular y otros aparatos que dan acceso directo a los sistemas SCADA (de control remoto). Ya dentro de un sistema, los ataques más empleados son el de denegación de servicio (inundarlo con peticiones hasta saturarlo) y el robo de contraseñas.

Los atacantes utilizan un buscador llamado Shodan, una especie de Google de dispositivos industriales conectados a la Red. Los usuarios de Shodan pueden encontrar cámaras de seguridad, semáforos, subestaciones eléctricas, gasolineras e incluso centrales nucleares. Intentarán primero descubrir lo que se conoce como systempunkts, que son los puntos débiles del sistema cuyo sabotaje causaría el máximo efecto. un fallo en cascada.

Internet proporciona acceso instantáneo al sistema, pero no es nada fácil provocar un apagón. Sin embargo, existe al menos una vulnerabilidad que puede hacer saltar ese equilibrio. Se denomina Aurora. ¿En qué consiste? Un generador de electricidad suele tener una potencia muy inferior a la de la red. Si se conecta a ella sin una sincronización adecuada (fuera de fase, a diferente tensión ), la red forzará la sincronización casi instantánea. El generador tendrá que hacer, entonces, un esfuerzo para el que no está diseñado. Si la acción se repite varias veces, acabará fallando. Un ciberataque buscaría provocar desfases reiterados de los generadores de una estación, saturándolos de peticiones, hasta dejarlos fuera de juego.