Miguel López: “Los ciberatacantes son conscientes de que cualquier disrupción en las infraestructuras de energía tiene un impacto brutal”

Hablamos con el director general de Barracuda Networks, empresa de ciberseguridad, sobre los ciberataques a infraestructuras críticas de energía

La empresa Colonial Pipeline sufrió en mayo de 2021 el mayor ciberataque realizado con éxito a una infraestructura de energía, interrumpiendo el suministro de combustible en la Costa Este de EE.UU durante una semana.
La empresa Colonial Pipeline sufrió en mayo de 2021 el mayor ciberataque realizado con éxito a una infraestructura de energía, interrumpiendo el suministro de combustible en la Costa Este de EE.UU durante una semana. FOTO: JIM LO SCALZO EFE

En mayo de 2021, la empresa Colonial Pipeline se vio obligada a interrumpir el suministro de combustible en la Costa Este de Estados Unidos tras lo que se calificó como el mayor ciberataque realizado con éxito a una infraestructura de energía en la historia del país. El ataque, atribuido al grupo de ransomware DarkSide y que el presidente de Estados Unidos relacionó con Rusia, puso de relieve los enormes riesgos que suponen para empresas y ciudadanos este tipo de ciberdelincuencia que cobra cada año mayor presencia.

Diversos estudios afirman que la gran mayoría de las empresas del sector de la energía, en porcentajes superiores al 90%, fueron objeto de ciberataques durante el año 2021. LA RAZÓN ha hablado con Miguel López, director general en España de Barracuda Networks, empresa de ciberseguridad fundada en 2003, sobre los riesgos que afrontan estas compañías, las tácticas de los ciberdelincuentes para romper su seguridad, los tipos de ataques que se están llevando a cabo en Europa, el papel de Rusia y lo que podría pasar de darse un ataque exitoso en España, entre otras cuestiones.

Miguel López, director general de Barracuda Networks en España.
Miguel López, director general de Barracuda Networks en España. FOTO: La Razón (Custom Credit) Cortesía de Barracuda Networks.

Según un estudio de Trendmicro, un 90% de las empresas generadoras y transformadoras de energía en Estados Unidos, Alemania y Japón han sufrido ataques en 2021, con un coste medio de 2,8 millones de dólares. ¿Se encuentran las infraestructuras críticas de energía en España bajo la misma presión?

La verdad es que el estudio de Trend Micro coincide bastante con nuestros propios estudios. Nosotros hemos lanzado uno recientemente donde analizamos la estructura de ciberataques a empresas del sector industrial y específicamente todo lo que son ataques a infraestructuras IOT. Según nuestro propio estudio, el 94% reportan haber sufrido algún incidente de ciberseguridad en los últimos doce meses. Es perfectamente extrapolable, yo creo que esta ola de ataques que sufren, fundamentalmente, todas aquellas empresas que sean sensibles o que un ataque sobre ellas pueda tener un determinado impacto sobre la ciudadanía es una característica común y global que estamos sufriendo.

Prácticamente, no se libra ninguna.

De hecho, cabría pensar si el otro 6% lo ha recibido también y, simplemente, no se ha enterado. En nuestro caso, nuestro estudio era más amplio y cubría todo lo que son empresas relacionadas, por ejemplo, con minería, transporte de energía, de petróleo, de gas… incluso todo lo que sería asuntos de distribución, manufacturas, etc. El caso concreto de las industrias de energía, es evidente que es uno de los sectores donde un ataque puede ser más sensible. Lo vimos con el ataque que sufrió la empresa de transporte de petróleo en Estados Unidos, Colonial Pipeline. Esta empresa recibió un ataque ransomware que la dejó sin servicio durante varios días y esto tuvo un impacto brutal en toda la costa este de USA. Los ciberatacantes son perfectamente conscientes de que las estructuras relacionadas con todo lo que es energía, en cualquiera de sus formas, son extremadamente sensibles y que cualquier disrupción en ellas genera un impacto brutal a nivel de toda la sociedad, de toda la economía y también de popularidad o impacto mediático y, por tanto, son una de las áreas más afectadas.

El caso de Colonial Pipeline, ¿ha sido uno de los más graves?

Desde luego ha sido uno de los que más impacto ha tenido a nivel de la opinión pública porque fueron los consumidores, un alto número de ellos, sufrieron el ataque en sus propias carnes. Decir si ha sido el ataque más grave es complicado. Ha habido ataques muy importantes y todo depende al final de medidas como el número de personas afectadas, los daños económicos causados, por el tiempo que ha impactado a un servicio crítico, pero lo que es indudable es que ha sido uno de los ataques más importante y con más repercusión en los últimos tiempos.

¿Qué consecuencias de tipo práctico tuvo este ataque la gente corriente?

Aquello produjo una disrupción de todo el servicio que llevaba gasolina, fundamentalmente, aunque es algo más complejo porque surtía a todas las empresas, digamos, mayoristas. Pero en definitiva, para el consumidor de a pie, le impactó en que fue muy difícil durante un tiempo poder suministrar gasolina a todos los conductores. En cualquier país tendría un impacto. En Estados Unidos, donde además una parte muy importante del transporte personal se realiza en vehículos, pues fue absolutamente demencial. Sin duda, aunque hubiera sucedido en Europa o en otro país habría tenido un impacto muy importante. Simplemente, piensa en lo que sucedería si de repente, para poder echar gasolina, tuvieras que esperar horas de colas para poder rellenar el depósito. A nivel incluso del sector de la logística, de la distribución por carretera, el impacto fue brutal. Pero incluso para los consumidores de a pie y para la gente que tenía que desplazarse a su trabajo y no podía hacerlo por transporte público, también fue absolutamente desastroso.

¿Cuáles son los tipos de ataques más comunes que pueden recibir las infraestructuras críticas?

Depende fundamentalmente de las medidas de protección. Probablemente, la principal vía de ataque sea la del correo electrónico que es el vector de ataque número uno en cualquier sector. El correo electrónico es un servicio que está activo 24x7, todo el mundo puede mandar un correo a alguien en un momento dado y además que está operado por usuarios que no siempre cuentan con la expertise y con la formación adecuada para poder distinguir ataques. Si además añadimos el hecho de que, como consecuencia de la pandemia, ha habido muchísimo teletrabajo, lo que ha hecho que muchos trabajadores hayan estado accediendo a su puesto de trabajo y su correo electrónico desde dispositivos que no estaban correctamente protegidos, en redes que no estaban correctamente segurizadas y en dispositivos que, en muchas ocasiones, no era el profesional. Entonces, al final todo eso suma una tormenta perfecta. Diría que el correo electrónico es la principal vía de ataque. No obstante, hay otras. Y entre ellas habría que destacar también la vía de los servicios web de la compañía. En este caso, la página web, por supuesto, pero en general todos los servicios que proporciona la compañía o las empresas a través de servicios web, a través de API, de aplicaciones móviles. Este tipo de servicios son muy atacados porque, normalmente, son de nueva creación que no siempre cuentan con todas las medidas de protección adecuadas, especialmente en el caso de las conexiones de API, y los atacantes saben que esta es una forma muy interesante de atacar porque el coste-beneficio del ataque es muy amplio. El coste del ataque es relativamente bajo y el beneficio que pueden conseguir al penetrar es muy alto.

¿Qué amenazas informáticas pueden utilizarse?

Existen diferentes familias, por decirlo así, de ataques. Pero yo destacaría, dentro del correo electrónico, el tipo de ataque más habitual se basa en algún tipo de ransomware. Cuando hablamos de ransomware nos referimos a malware que cuando logra acceso a la red corporativa se extiende por ella buscando repositorios de información que cifra con una clave que solo conoce el atacante y entonces pide un rescate económico a cambio de dar la clave de descifrado de toda esa información. Estamos viendo que el ransomware, en los últimos años ha tomado un liderazgo en este tipo de ataque muy claro y además se ha sofisticado bastante, tanto por la tecnología que utiliza para infiltrar como incluso por las estrategias, digámoslo así, comerciales que utilizan los atacantes para explotar al máximo el ransomware. Me refiero a estrategias comerciales porque hay mafias que utilizan el ransomware para establecerse utilizando técnicas de lo que llaman ransomware as a service (RAAS). Es decir, proporcionan sus estructuras y su malware como un servicio para que otros atacantes, a su vez, lo puedan extender con más facilidad. Hemos visto que el ransomware se ha profesionalizado y que ha seguido una evolución aún más dañina porque ha seguido estrategias de doble extorsión. No solamente chantajean con la clave y si no te la doy, no descifras los ficheros sino que previamente a encriptarlos, roba la información y amenazan no solamente con no dar la clave sino además con publicar información confidencial de la empresa en ciertos foros y que esa información sensible sea pública y pueda hacer todavía más daño a la empresa. La idea es ejercer todavía más presión. Piensa que cada vez más empresas utilizan una estrategia de backup adecuadas y se protegen frente al ransomware con medidas de protección que intentan evitar que entre en el sistema. Pero en caso de que lleguen a cifrar algo cuentan con sistemas de backup que permiten recuperarse del ataque. En este tipo de casos, la extorsión mediante la fórmula simple de si no me pagas no te doy la clave de desbloqueo, muchas veces no es suficiente. El usuario puede recuperarse del ataque, simplemente, accediendo a sus copias. Si ellos previamente han filtrado la información y han logrado de esta forma acceso a información sensible que la empresa no quiere que se sepa, desde patentes a código fuente, listas de clientes, de proveedores, gastos y cuentas de la empresa, con amenazar con hacer pública esa información logras hacer más daño.

¿Puedes darme ejemplo concretos de malware de uso común o de especial gravedad?

No soy partidario de dar nombres concretos porque lo que se hace de esa forma es dar publicidad a los atacantes. Me explico, te comentaba anteriormente que muchas de estas mafias de atacantes funcionan en una modalidad de ransomware as a service, entonces el coger y publicitar, pues esta determinada familia de ransomware es muy exitosa, lo único que hace es darles una publicidad que no es positiva.

EL RAAS consistiría en que yo adquiero el software y me monto mi ataque contra una empresa.

Básicamente, sí. Puede ser algo diferente, pero la idea es esa. De hecho, en ocasiones, proporcionan la plataforma con todos los servicios de cómo inyectar el malware y demás y entonces lo único que tiene que hacer aquel que contrata el uso de la plataforma es proporcionar una base de datos de potenciales clientes, por decirlo así, en este caso víctimas, y subirla al sistema y partir de ahí alquilan la utilización de la plataforma para lanzar ese ataque sobre esas direcciones. Y luego, dependiendo de la modalidad, lo que se hace es que tanto el dueño como aquel que la ha alquilado comparten los beneficios, ahí ya depende del modelo de negocio que tengan. Pero me refería a que han evolucionado a estructuras comerciales complejas, porque se ha creado canales de comercialización de malware, de distribución del mismo que lo que hacen es permitir que una determinada familia de malware que antes se ha explotado por un numero finito de individuos, ahora puede ser explotada por muchos más individuos, lo que la hace todavía más peligrosa. Entonces, esas estrategias de comercialización más avanzadas, más modernas, que están utilizando es uno de los planteamientos que están haciendo que la actual oleada de ataques que sufrimos sea todavía más dañina.

¿Cuándo comienza a dispararse este tipo de actividad?

Desde que hemos empezado a trabajar en Internet, han empezado a surgir ataques. Es imposible separar la utilización de Internet de la existencia de virus, malware y sistemas de ataque. Si que es cierto que lo que hemos vivido en los últimos, cinco, diez años ha sido un crecimiento casi exponencial de la utilización de Internet. Cada vez más empresas se digitalizan, digitalizan su operativa… ahora es muy complicado encontrar algún tipo de empresa que, se dedique a lo que se dedique, no esté digitalizada en algún aspecto. Hace diez años, esto era bastante más normal, había muchas empresas que no estaban digitalizadas y hace 15 aún más. De manera pareja a este avance de la digitalización, se produce este tipo de situaciones. Es posible que cosas que están sucediendo como el conflicto de Ucrania hayan contribuido a disparar cierto tipo de ataques. Pero yo diría que el crecimiento del número de ataques va parejo a la digitalización de la economía en general y probablemente es inseparable. Tenemos que asumir que si queremos digitalización, poder coger y evolucionar con todos los servicios que tenemos alrededor de Internet, tenemos que invertir cada vez más en protección frente a este tipo de ataques porque son consustanciales.

¿El ransomware puede tener otro tipo de objetivos además del económico?

En términos generales podríamos decir que sí. El objetivo claro del ransomware es económico. Pero, por ejemplo, te comentaba que hemos visto tipologías de ataques que antes no estábamos viendo, relacionados no exactamente con el ransomware, pero sí con el malware que lo que hace es cifrar la información, efectivamente, pero no tanto con el objeto de permitir chantajear, sino que la cifra de forma que es indescifrable; directamente la destruye. Es decir, una tipología de ransomware destructivo que no va buscando el rescate sino hacer daño. Esto todavía no es en absoluto predominante, ni es el ataque más habitual, pero si estamos empezando a verlo. En términos generales, el noventa y mucho por ciento de los casos, el ransomware tienen una finalidad puramente económica.

¿Qué otros tipos de ataques estáis viendo?

Se han visto más ataques que lo que buscan es, puramente, una destrucción del servicio que preste cualquier empresa y ataques a entes gubernamentales, instituciones, digamos, de país. Fundamentalmente del centro de Europa, que ya existían, han existido siempre, pero quizá ahora se hayan vuelto más habituales. Hemos visto tratar de destruir la información en lugar de impedir su acceso, hemos visto ataques que utilizaban técnicas de denegación de servicio… tratar de tirar abajo un determinado servicio haciendo que muchos dispositivos se conecten al mismo y sobrepasen su capacidad para gestionarlo. En este caso se utiliza una red zombi, una red de dispositivos que está controlado por un atacante y se les pide que se conecten, por ejemplo a una página web. Si se supera el límite de peticiones que la página es capaz de gestionar, la plataforma se puede caer. Este tipo de ataques de denegación de servicio también son bastante habituales y pueden llegar a ser bastante sofisticados también.

¿Cuáles han sido los ataques más importantes a infraestructuras críticas y que consecuencias tuvieron?

Es una prueba de memoria esto. Realmente quizá uno de los que más claramente todos recordamos precisamente el tema de Colonial Pipeline que hemos hablado antes, es el primero que se me viene a la cabeza. No siempre, cuando hablamos de ataques a infraestructuras críticas, tenemos que pensar necesariamente en un ataque a una red de distribución de petróleo o de gasolina, podríamos estar pensando en redes de distribución eléctrica, de distribución de agua, e incluso determinados servicios que puedan ser críticos para el país o para una determinada organización. Se me viene ahora mismo a la cabeza, uno de los ataques más sonados en España fue el ataque contra el SEPE. Lograron romper todos los servicios que proporciona este organismo, tuvo un impacto muy importante aparte de considerables daños económicos. Realmente, casi cualquier servicio crítico proporcionado por las administraciones públicas podría entrar en esta categoría y realmente ha habido muchos.

¿Cuáles son los grupos de ciberdelincuentes más activos con este tipo de objetivos?

Es complicada la respuesta, normalmente actúan en el anonimato, muchas veces sus nombres varían en el tiempo, incluso cuando se logra desmantelar la infraestructura de alguno de ellos, sus integrantes emigran a otros grupos… es complicado. Hay muchos de ellos que están asociados a ciertos países. No se sabe hasta qué punto, es difícil vincularlos con la actividad de los propios gobiernos, pero si que es cierto que a veces parece que pueda existir. Aquí, por ejemplo, uno de los que más puede venir a la cabeza es el grupo Lazarus, que también opera bajo otros nombres. Esta gente solía operar desde Corea del Norte y es un grupo que ha tenido una actividad bastante importante durante los últimos años. Hay muchos otros, está Noveling. Cohesion Group es también otro que tiene bastante impacto. Esta gente, por ejemplo, una de las cosas que llegó a lanzar fue unos ataques bastante importantes en toda la parte china, pero también en Europa. Tenemos Cardonak, otro de los grupos clásicos de toda la vida que ha hecho ataques bastante sonados. Normalmente es complicado porque van migrando y muchas veces cambian y a los que están más activos a día de hoy, pues tampoco sea interesante hacerles demasiada publicidad… es bastante voluble, bastante cambiante.

¿Existen grupo de ciberdelincuentes en España que se dedican a esto, bien contra objetivos nacionales o de otros países?

Aquí tenemos ciberdelincuentes, como los hay en todos los países. La mayoría de los grupos que tenemos aquí no han alcanzado la notoriedad de otros grupos en otros países, probablemente porque no cuentan con ese posible apoyo de estado que otros grupos puedan tener en otros países. Aquí se les persigue, por lo que no hay digamos, una ciberdelincuencia tan organizada. Sucede lo mismo en la Unión Europea, a estos grupos se les persigue por lo que no logran esa notoriedad. Eso no significa que no existan ciberdelincuentes en España. Una de las cosas que debemos tener en cuenta es que la ciberdelincuencia no conoce fronteras, es uno de los grandes problemas que tenemos que afrontar. Al final un ciberdelincuente puede estar atacando desde cualquier lugar del mundo y hay también problemas de legislación, como perseguir estas actividades cuando el delito se está cometiendo en un determinado país y la ejecución del mismo se está llevando a cabo desde otro. Hay grandes interrogantes en cuanto a cómo combatir este tipo de delitos.

¿Es necesaria una legislación más específica para perseguir este tipo de delitos?

Existen diferentes iniciativas internacionales al respecto, especialmente dentro de la Unión Europea. Precisamente, por eso no es tan normal que dentro de la unión europea se generen estos grandes grupos avanzados que sin embargo sí suceden en otros países. Esto es complicado porque no todos los países son proclives a esta transparencia y a ejecutar ese tipo de medidas.

En el actual contexto de crisis energética y guerra con rusia, ¿hay que temer más a las bandas de ciberdelincuentes o a las acciones de otros países?

Probablemente, es que es difícil separar a los unos de los otros. Es decir, en muchas ocasiones… por supuesto hay países que disponen de equipos, dentro de sus estructuras militares, que son capaces de lanzar esos ataques. Pero lo que vemos es que en la mayoría de los casos los ataques que vienen desde ciertos países y que parecen tener o pueden ser interpretados como ataques con cierta vinculación o intención política o militar, en la mayoría de ocasiones no son realizados por militares o por grupos que puedan pertenecer al gobierno, sino por grupos, digamos, que van por libre. Que a lo mejor, de alguna manera, reciben algún tipo de orientación como “ahora sería bueno que atacarais a esta gente” y a cambio de ello pues a lo mejor el gobierno mira para otro lado en sus actividades internas. Esto es pura especulación, no sabemos como pueden gestionar eso, pero sí que parece bastante claro que determinadas bandas de ciberdelincuentes, en muchas ocasiones, actúan siguiendo la dirección que parece interesar a ciertos gobiernos. Ahí es muy difícil demostrar. Si ya es difícil demostrar, cuando hablamos de ataques, la autoría del ataque en sí, encontrar que ese grupo lo ha hecho con cierta directriz de alguien, pues es todavía más complicado.

¿Es posible que Rusia utiliza este tipo de ataques a infraestructuras de energía junto a la presión por las restricciones de gas, contra Europa?

Desde luego, en la situación actual todo lo que suponga limitar aún más el acceso a fuentes de energía de la Unión Europea, todo lo que suponga atacar cualquier tipo de infraestructura de distribución o generación de energía, podría interesar a ciertos países en este momento. Desde luego, no es descartable y es uno de los motivos por los cuales todos los países de la Unión Europea deberían de invertir en ciberprotegerse, porque muchas veces la forma de ejercer presión puede venir por parte de un ciberataque. Desde luego, no es descabellado pensar eso. Insisto, demostrar la autoría de un ataque como este es complicado, pero desde luego sí parece que podría suceder.

Hace dos o tres décadas, una infraestructura crítica se protegía físicamente, impidiendo el acceso con guardias en la puerta, por así decirlo. Eso ha cambiado con el desarrollo de Internet… ¿cómo se protegen frente a las amenazas online?

Es una pregunta muy amplia. A ver, en términos generales, y permíteme que la respuesta sea amplia, lo que es importante para cualquier empresa, sea del sector que sea, es hacer una valoración de cual es el impacto que un ataque tendría. Si yo en un momento dado sufro un ataque como el del SEPE, eso significa que yo esté, por ejemplo, una semana sin poder trabajar. Entonces, a la hora de valorar que tienes que hacer lo primero es valorar qué pasaría si. Si valoramos los daños que nos puede generar un ataque como este, ya tenemos un presupuesto. Ya sabemos, en este caso, que tenemos que invertir una cantidad similar pareja para evitar ese tipo de ataques porque si no lo hacemos, eso es lo que vamos a perder. Lo primero es tener claro que vamos a ser atacados en algún momento, si es que no lo estamos siendo ya. Una vez tenemos claro eso, hay que valorar cuales son las pérdidas que vamos a sufrir por ese ataque. Una vez podemos valorar las pérdidas, podemos hacer una estimación de la inversión que deberíamos hacer para evitarlas y a partir de ahí hay que hacer un plan completo que trate de ir limitando el impacto de los posibles ataques. Y ahí hay que dirigir, de una forma estratégica y avanzada, cuales son los principales vectores de ataque. Lo que hablábamos antes del correo y los servicios web como dos de los principales ataques, los primeros en los que nos vamos a enfocar para dotarles de un nivel de protección al menos razonable y suficiente. Y cuando ya lo tengamos cubierto empezaremos a pensar en otros posibles vectores de ataque hasta que tengamos un nivel de cobertura razonable frente a posibles ataques. Al final tenemos que pensar que los atacantes, en la mayoría de los casos, se rigen también por un criterio de coste beneficio. Es decir, si una empresa está razonablemente bien protegida, para el atacante no le merece la pena atacar, porque los costes que va a tener no compensan. Te va a salir más económico, vas a conseguir un mejor beneficio atacando una empresa que esté menos protegida. Con lo cual, el saber que la mayoría de los ataques van a venir por este análisis de coste-beneficio que puedan realizar los atacantes nos ayuda a tener claro que lo que tenemos que hacer, quizás no es que todo el mundo tenga un nivel de seguridad similar al de la NASA, por decir algo, sino que todo el mundo tenga un nivel de seguridad que esté por encima del de la media de su sector, de sus competidores… De esa forma va a ser más rentable para los atacantes atacar a otros y no a esa empresa.

Si una potencia extranjera quisiera hacer daño a un país como España, ¿cómo podría proceder? ¿Qué tipo de infraestructuras atacaría y qué daño podría hacer?

Hace no mucho me hicieron una pregunta similar y tuve que responder de esta misma manera. Yo te rogaría que tengas en cuenta que no quiero hacerle el plan de ataque a nadie. Lo que tienen que atacar, yo creo que los atacantes lo tienen bastante claro, pero prefiero no ser yo el que de pistas. Prefiero centrarme en la segunda parte de la pregunta, cuáles podrían ser las consecuencias. Uno, lo que comentábamos anteriormente, una empresa tiene que hacer una valoración de cuales van a ser los costes que va a tener que hacer frente en caso de ataque. Bien, pues en el caso de un país no es muy diferente. Deberíamos, como país, hacer una estimación de los costes que puede tener el que alguna de nuestras infraestructuras críticas sea atacada y cualquiera de ellas puede serlo, cualquiera. Desde el momento en que pensamos que podemos perder el acceso, pues las consecuencias pueden ser mortales. Hemos visto en los últimos meses mucho movimiento cuando algunos países avisaban de que todo el mundo debe tener agua y comida en casa para sobrevivir al menos una semana. Bien, ahí lo que se nos está haciendo es preparar, se nos está pidiendo que estemos preparados para lo que podría ser un ataque a una infraestructura crítica. Yo creo que las consecuencias son fáciles de ver. Pensemos lo que sufrió Madrid con Filomena, imaginemos que de repente dejan de funcionar los servicios que conectan toda la ciudad, pues algo parecido. Probablemente, lo que tenemos y aquí yo creo que es una labor de las administraciones públicas, que a lo mejor se hace de forma parcial para algunos servicios, a lo mejor de forma más confidencial y tiene sentido que sea así, pero quizás de una manera más pública y para que todo el mundo lo conozca, debería hacerse esas valoraciones para que la gente también pueda tomar sus medidas de precaución. Porque damos por sentado siempre que nos levantamos por la mañana que va a haber una serie de servicios, infraestructuras a nuestra disposición y en caso de un ataque cualquiera de ellos puede fallar. Entonces, yo creo que es importante que seamos conscientes de ello y, como otros países han avisado, pueden existir cortes en suministros varios, hay que estar preparado y creo que aquí debemos hacer también ese ejercicio.

¿Crees que ese tipo de recomendaciones se deberían hacer en España?

Yo creo que sí, sin alarmismos, no hay que favorecer la expresión del miedo, pero sí que la gente entienda que se puedan dar disrupciones en los servicios por muchas causas. Una de ellas puede ser los ciberataques, pero puede ser por muchas otras razones. Si que es cierto que estamos dando siempre por sentado que existen una serie de servicios y que en cualquier momento pueden dejar de estarlo y debemos estar preparados. Con la pandemia, con Filomena, hemos visto que este tipo de cosas suceden, no son cosas de película de ciencia ficción. Sin alarmismos, pero que la ciudadanía sea consciente de ello.

¿Cómo valora el nivel de seguridad de estas infraestructuras en España?

Es difícil generalizar porque cada empresa, cada institución, es un mundo. Probablemente, como los españoles somos muy dados a pensar que lo nuestro es siempre lo peor y aquí yo quiero romper una lanza a favor de la industria de ciberseguridad en España. Estamos mejor de lo que mucha gente podría pensar, no creo que tengamos gran cosa que envidiar a muchos de los países más punteros. Existen carencias y desde luego es evidente que hay mucho que mejorar, pero también en otros países. Yo creo que podemos estar perfectamente en la media de lo que puede ser la UE. No obstante estar en la media de la UE tampoco es decir gran cosa, queda todavía mucho por mejorar y mucho por hacer y sobre todo en un entorno y en un escenario como el que estamos viviendo.

El Gobierno trabaja en una directiva que, según el CNPIC, Centro Nacional de Protección de Infraestructuras Críticas, será aprobada este año y que propone un esquema de certificación de protección de infraestructuras. ¿Tiene conocimiento del desarrollo de esta normativa? ¿Qué espera de ella, que debería contemplar una certificación de este tipo?

No estoy familiarizado con los detalles, es una pregunta complicada de responder de manera concreta. Estoy seguro de que se está teniendo en cuenta el tener una cobertura lo más global y completa posible. Lo más importante a la hora de establecer una certificación como esta es procurar no dejar puertas abiertas, hay que tener una cobertura lo más amplia posible para los diferentes vectores de ataque. Antes te mencionaba dos de los más habituales, pero como estamos hablando de infraestructuras críticas tendríamos que asegurarnos de cubrir no solamente lo más habituales, sino todos los conocidos. No digo todo porque es imposible, pero por los menos todos los conocidos. Y ahí, pues es un campo muy extenso porque estamos hablando de ataques que pueden ser de muchas formas: dispositivos móviles, dispositivos removibles, seguridad en las estructuras cableadas… hay un montón de aspectos que tocar, pero en cualquier caso, lo importante es que la cobertura sea completa, porque al final si dejamos cualquier hueco, por ahí van a atacar. Y quizás una de las cosas que acostumbran a dejarse en segundo plano es la formación de los empleados, de los usuarios. Es decir, que la gente que está operando esas infraestructuras críticas sea consciente de lo que tiene entre manos, de las tipologías de ataque que hay, de la importancia que él tiene en la seguridad global de la red en el trabajo. Porque muchas veces los ataques se basan en ingeniera social. Es decir, engañar a un empleado para que de esa forma le de acceso a la red corporativa. Es importante que todo el personal esté correctamente formado para hacer frente a este tipo de ataques. Te pongo un ejemplo de ingeniería social que es fácil de entender, a veces no hay que complicarse la vida mandando una pieza de malware supersofisticado o una amenaza de día cero, basta con llamar por teléfono a diez usuarios de una empresa haciéndose pasar por el servicio de IT y decirles que te den su contraseña. Está estadísticamente demostrado que si haces diez llamadas vas a conseguir del orden de dos o tres contraseñas como mínimo. La concienciación de los empleados es muy importante. Debería estar incluido y estoy convencido de que en esas negociaciones lo estará.

Se suele decir que la parte humana es el eslabón más débil.

De hecho, esa frase es casi un cliché en el sector. Pero efectivamente, en muchas ocasiones es así y al final, pues una cadena se rompe por el eslabón más débil. Sigo pensando que es una de las grandes áreas de mejora que tienen las empresas y las administraciones públicas, la correcta formación en ciberseguridad de los empleados. Y yendo a más, incluso que sería interesante que esa formación de ciberseguridad se integrase no solo dentro de los planes de formación de empleados, sino incluso en los planes de formación de nuestros jóvenes. Al final, están todos teniendo acceso a una serie de dispositivos y demás y sería interesante que conocieran los peligros que todo eso conlleva. En muchas ocasiones, tenemos empresas que han sido infiltradas su seguridad porque un dispositivo de la empresa ha sido utilizado, a lo mejor, por uno de los hijos de un empleado que lo ha usado de forma descuidada y, a raíz de eso, se ha infectado la red. Debería ser parte de una estrategia de ciberseguridad a nivel país.