Infraestructuras críticas amenazadas

infraestructuras-criticas¿Se acuerdan del famoso gusano Stuxnet? ¿Aquel que amenazaba con descentrar los ejes de las centrifugadoras de uranio de Amadinehjad en Irán? No solo ha pasado a la historia por ser una pieza de software maligno de enorme complejidad, sino también por marcar una divisoria en la historia de la criminalidad informática. A partir de ahora nada volverá a ser lo mismo. El público aun no es consciente de la gravedad de la situación. Para explicarlo basta tener en cuenta la cantidad cada vez mayor de instalaciones informáticas, dependencias administrativas y otros servicios importantes para la comunidad que dependen de la interconexión a través de Internet y redes públicas. Lo llaman infraestructuras críticas. Un informe reciente de la empresa de análisis valenciana S2 Grupo nos demuestra hasta qué punto estos bienes tecnológicos y económicos se encuentran amenazados en España.

El informe se encuentra disponible en esta página web, y es de lectura poco menos que obligada para todo aquel que desee comprender que el tema tratado no es la típica frikada sensacionalista y geek acerca de la exposición de redes públicas al riesgo de intrusión por parte de los lamers inflapelotas de costumbre. Basado en una sólida metodología consistente en la exploración de firmas o cadenas características a traves de buscadores especializados en servicios críticos (principalmente: SHODAN), los resultados del estudio han sido puestos a disposición de las autoridades y empresas respectivas. No esperen encontrar en el documento accesible al público el menor indicio de tales firmas. La información sensible ha sido transmitida únicamente a las entidades expuestas. Lo único que cabe decir es que los resultados, considerados globalmente, no son demasiado halagüeños para un país cuyas fuerzas vivas han asumido el compromiso de remontar la crisis mediante un esfuerzo serio y consecuente en el campo de la investigación, la solvencia profesional, el esfuerzo tecnológico y el fomento de la competitividad.

El mayor mérito de este informe no consiste en haber puesto al descubierto unos cuantos bugs, sino en señalar además las deficiencias sistémicas que hacen posible la explotación de los mismos con repercusiones potencialmente devastadoras -aguarden algunos años y se darán cuenta de lo que esto quiere decir-. Uno de estos factores lo constituye la falta de información y cooperación entre las diversas etapas de realización de los grandes proyectos. Nos explicaremos: como ustedes saben, en España una infraestructura de gran formato -centrales de ciclo combinado, aeropuertos, redes públicas de datos, refinerías, complejos industriales, etc.- es proyectada por una oficina de ingenieros de élite que saben mucho de cualquier tema de altos vuelos (matemáticas, física, finanzas, ordenación del territorio, legislación medioambiental), pero que no poseen mucha experiencia en asuntos de tejas abajo como controles industriales o albañilería. Esto obliga a conceder una considerable libertad de acción al contratista, que a menudo soluciona sus problemas del día a día como puede y sin producir una información operativa útil desde el punto de vista de la seguridad para el responsable superior del proyecto.

Posteriormente, y tras la entrega de la obra llave en mano, los promotores de la misma y las empresas encargadas de la gestión se hacen cargo del material presionados por la necesidad de cumplir expectativas y asegurar la rentabilidad de una subcontrata, por lo cual se asumen sin rechistar, en aras de una eficiencia operativa máxima, todas las máculas de seguridad transferidas por el proveedor. Este abandona la obra y pasa a ocuparse de otros proyectos. El registro documental queda archivado en algún sitio, y cuando alguien se vuelva a acordar de él, a lo largo de los años, podemos estar seguros de que la causa de ese interés será algún incidente de seguridad bastante sonado, que dada la dinámica de trabajo que acabamos de describir, tiene bastantes probabilidades de llegar a producirse.

Redes eléctricas inteligentes, administraciones públicas en red, sistemas industriales interconectados y supervisados a través de Internet, comercio electrónico, OpenGovernment, gobierno participativo… ¿No creen que va siendo hora de que nos ocupemos en serio de este problema y vayamos superando la mentalidad funcionarial y cantonalista tan típica de los pueblos latinos? ¿Qué tal si incluyéramos esto en la lista de buenos propósitos para el 2013?

One Comment to “Infraestructuras críticas amenazadas”

  1. El sistema wincc (scada hmi de siemens) y la plataforma de programación S7, permite la modificación del software fácilmente desde un ordenador que tiene acceso a la plataforma de programación.
    No es tema de vulnerabilidad sino, tema de facilidad, pero claro que en sistemas críticos hay que prohibirlo de alguna manera.
    Yo mismo personalmente conozco muchos sistemas que disponen de sistemas SCADA de Siemens que son fácilmente manipulables desde casa, y los destrozos y/o pérdidas económicas podrían ser grandes.

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s

A %d blogueros les gusta esto: