En 2003, agentes chinos comenzaron un asalto masivo a los ordenadores de EEUU para robar secretos industriales y de Estado. Lograron colarse en los sistemas informáticos de la NASA e incluso en las redes de laboratorios de armamento nuclear. En 2007, una ofensiva lanzada desde Rusia con miles de ordenadores zombis controlados a distancia logró tumbar webs del Gobierno, la banca y los medios de comunicación de Estonia. En 2009, un supuesto ciberataque contra el sistema informático de una compañía eléctrica dejó sin luz a unos 50 millones de personas en Brasil y Paraguay. Y en 2010 se descubrió Stuxnet, un sofisticadísimo gusano informático presuntamente diseñado por Israel y EEUU para inutilizar la maquinaria de las centrales nucleares iraníes.
Son algunos de los ciberataques más conocidos pero, como subraya el ingeniero informático Álvaro Ortigosa, no son los mejores. Los mejores no se conocen. Ortigosa, nacido hace 45 años en “el sitio más bonito del mundo”, San Carlos de Bariloche (Argentina), dirige el nuevo Centro Nacional de Excelencia en Ciberseguridad, con sede en Madrid. Acaba de recibir 700.000 euros de la Comisión Europea para formar a soldados de élite contra el cibercrimen, procedentes en principio del Cuerpo Nacional de Policía y de la Guardia Civil.
En España, en pleno año 2013, todavía no existe una Estrategia Nacional de Ciberseguridad ni hay un mando único que coordine la defensa en caso de ciberataque, a pesar de que las cuatro dimensiones clásicas de la defensa —tierra, mar, aire y espacio— se han quedado muy obsoletas, según insiste este profesor de ingeniería informática de la Universidad Autónoma de Madrid. Usted mismo, lector o lectora, podría estar leyendo esta entrevista desde un dispositivo controlado por una potencia extranjera para llevar a cabo ataques de denegación de servicio: miles de ordenadores zombis como el suyo lanzados al unísono para saturar los servidores de internet de bancos y gobiernos hasta su colapso.
¿En España puede ocurrir lo que pasó en Estonia en 2007?
Sí, la respuesta es sí, puede ocurrir. Los ataques de denegación de servicio, que fue lo que sufrió Estonia, están cambiando, pero para peor. No está aumentando la cantidad, pero se están especializando. En general todo el cibercrimen se está especializando. Podemos tener suerte y que no nos hayan elegido como objetivo. Últimamente ha habido una gran polémica en el mundo musulmán por un vídeo colgado en YouTube, La inocencia de los musulmanes, sobre la cultura musulmana. Como represalia, un grupo hacktivista empezó a largar una serie de ataques de denegación de servicio contra bancos de EEUU. Terribles. Un nivel casi sin precedentes de ataques de denegación de servicio. ¿Y eso no tiene solución? Pues la verdad es que no. Es muy difícil defenderse porque aprovechan la entrada normal: un banco tiene que tener su red de internet abierta, porque los clientes se quieren conectar. Aprovechan eso para atacarte desde millones de ordenadores simultáneamente. ¿Puede suceder eso? Claro. ¿Estás preparado para defenderte? Sí. ¿Lo puedes evitar? No.
¿Se puede tumbar el sistema financiero de un país con un ataque de denegación de servicio?
Sí, seguro. Si hubiera un adversario suficientemente motivado para hacerlo, lo podría hacer. Esto es cierto para cualquier tipo de intrusión informática. Lo que asumen los expertos en seguridad informática es que ningún sistema es invulnerable ante un adversario bien motivado. Siempre va a encontrar un fallo de seguridad.
Ha hablado de hacktivismo, pero parece que ahora el principal problema son los propios estados, como se ha visto con el gusano Stuxnet.
Depende de cómo lo midamos. ¿Lo medimos en número de ataques? ¿En número de ordenadores infectados? ¿En pérdida económica? Los de los estados no son los principales ataques, pero sí son los más peligrosos porque son, aparentemente, los más sofisticados y los que realmente no tienen un claro cortafuegos con el que lo puedas parar.
¿Cómo se sabe que hay estados detrás?
Desde el principio se sospechaba que ataques como Stuxnet estaban financiados por un estado. ¿Por qué se sospechaba eso? Porque usaban vulnerabilidades de día cero, un fallo de un sistema informático que lo hace vulnerable a un ataque y que no se conoce. Cuando no se conoce, ni el fabricante saca el parche para que lo arregles, ni el antivirus coloca la protección necesaria. Cualquier usuario que tenga esa vulnerabilidad instalada en su sistema puede ser atacado. Esas vulnerabilidades son muy golosas, porque te abren una puerta que nadie sabe que está ahí y nadie la protege. En el mercado negro pagan mucho por ellas. Pagan mucho por saber, por ejemplo, que Internet Explorer tiene tal vulnerabilidad y se puede atacar. Como Stuxnet utilizaba cuatro vulnerabilidades de día cero, era mucho dinero metido para un solo gusano. Aquí hay algo gordo detrás. Se suponía que era un estado.
¿Israel?
Israel y EEUU. EEUU implícitamente aceptó que estaba detrás del desarrollo de este gusano.
¿Israel lo aceptó también?
Israel no ha dicho nada. Pero hay pruebas de hasta qué laboratorio ha salido. Israel tiene su propia política y no hace falta que quede claro. Y volviendo a la pregunta de si los estados son los peores, la mayor motivación del cibercrimen sigue siendo económica. Luego hay un gran porcentaje de hacktivismo, que crece cada vez más. Y luego hay un pequeño porcentaje, que tiene que ver con los estados, que es de espionaje. En términos de ataques y de número de ordenadores es pequeño, pero están muy dirigidos.
China ha sido pillada espiando a EEUU.
Sí, de China lo que se sabe es que tiene desde hace años una operación que se llama Titan Rain, que es espionaje sistemático al Gobierno de EEUU y a sus proveedores. Ha habido cientos de reportes de detecciones de intromisiones que vienen de China.
¿No pueden ser intromisiones de civiles?
Efectivamente, pueden ser civiles, pero por la coordinación que tienen, por su grado de sofisticación y porque en China el Gobierno controla absolutamente todo, es muy difícil que no esté China detrás de eso. ¿Cómo puede pasar este volumen de cosas en China sin que el Gobierno se entere?
¿Y sabemos si China espía a España?
Oficialmente, no lo sabemos.
¿Y extraoficialmente?
Extraoficialmente, se supone que sí. De hecho, Javier Solana declaró que los sistemas informáticos europeos han sido sistemáticamente espiados por una potencia extranjera. No dio nombres, pero todo el mundo suponía que estaba hablando de China.
¿Qué se está haciendo para evitarlo?
Lo bueno es que las mismas medidas de protección que tomas para evitar a cualquier hacker o cualquier intrusión delictiva en una operación financiera o económica las puedes utilizar para evitar que te espíen el ordenador. ¿Y qué se está haciendo? Pues, básicamente, como siempre, aumentar la seguridad de los sistemas, pero sobre todo intentas concienciar. El principal punto de acceso termina siendo la persona, que acaba revelando su clave o enchufa el pendrive que no debe con un virus y entonces se contagia su ordenador. Iniciativas como la del Centro Europeo de Ciberdelincuencia [recién inaugurado el 11 de enero] van en ese sentido: creemos una estrategia política común en Europa para evitar que nos pase esto.
¿Qué puede estar ocurriendo que no se sepa?
Una de las cosas que nos han asustado tanto del virus Stuxnet y de sus derivados, como el Flame, es que son virus que han estado activos y no se han detectado durante al menos cinco años, en algún caso. La pregunta es: ¿y qué tendremos que no nos hayamos dado cuenta? Pues se sabe que existen las famosas redes de ordenadores zombis, las botnets. ¿Cuántos ordenadores estarán infectados por los chinos o cualquier otra potencia extranjera que sea capaz de controlar y saber todo lo que está pasando?
¿Usted sabe que su ordenador no es zombi y está controlado por el Gobierno chino?
Pues no lo sé. No estoy seguro. Casi nadie puede estar seguro de eso, sobre todo si tiene Windows. No porque Windows sea más inseguro, sino porque como hay más usuarios Windows, es más rentable fabricar malware para Windows.
En España no hay un mando único para los diferentes equipos de respuesta ante emergencias informáticas (CERT, por sus siglas en inglés). ¿No es como si el Ejército estuviera dividido en 20 ejércitos descabezados, sin un general? ¿Qué pasaría si hubiera un ataque sistemático contra España?
En cierta forma, sí. No sé si se produciría tanto caos como con 20 ejércitos descabezados. Creo que sería menor, porque al estar basado en tecnología, aunque en principio vaya cada uno por su lado, sería relativamente fácil ponerse de acuerdo en un momento. ¿A lo mejor sería demasiado tarde? Pues puede que fuera demasiado tarde. Es muy probable que un centro de respuesta temprana a ataques, un CERT, esté detectando un ataque a los bancos pero, como su objetivo es proteger infraestructuras críticas, no informe con la presteza necesaria a los bancos de que tienen que protegerse de ese ataque. La coordinación es fundamental, tanto dentro del país como entre países.
En un reciente informe del Instituto Español de Ciberseguridad se pedía la inclusión de la ciberseguridad en los planes de estudio en las academias militares. ¿Es que ahora no se enseña ciberseguridad a los militares?
Todavía no hay dentro del Ejército unidades preparadas especialmente para defender un ciberataque, pero se está empezando a hacer. Existen iniciativas para que en las escuelas del Ejército se empiece a formar a los militares en cuestiones muy específicas y técnicas. Otra cosa es que todo militar debería tener el nivel mínimo de conocimiento y de concienciación. EEUU lo ha publicado y probablemente nosotros tengamos el mismo problema y no lo sepamos: el militar que está desplazado en una misión, como Afganistán, debería saber lo que puede o no puede hacer con internet para no revelar planes estratégicos, posiciones o lo que sea. Si un militar está en una base y manda un e-mail para informar a un primo de lo que sea, ¿qué seguridad tiene eso? Pues el militar tiene que saberlo. Todos los militares deberían tener una formación muy importante en concienciación, porque toda la información que ellos manejan normalmente es sensible.
¿A Rajoy también le habrán entrado en el ordenador?
Es posible que le hayan entrado. Pero un amigo dice que la seguridad informática es como las almorranas: se sufre en silencio. Uno de los grandes problemas que hay con la seguridad informática es que no se sabe. Las empresas ocultan sus problemas. Los gobiernos también. Parece que si confiesas que te han entrado en un ordenador vas a ser más vulnerable. ¿A Rajoy le pueden haber entrado en el ordenador? Es posible, como pueden haber entrado en el mío. Rajoy debe de tener más medidas de seguridad, seguramente, pero no hay sistema de seguridad infalible. En la medida que utilice dispositivo móvil, teléfono móvil o iPad o lo que sea, es más posible todavía.
El Centro Nacional de Excelencia en Ciberseguridad en una primera fase, de dos años, sólo va a formar a Guardia Civil y Policía. ¿Qué hay de los políticos o del mundo judicial?
Estos dos primeros años tenemos dinero para formar a Cuerpo Nacional de Policía y Guardia Civil, pero desde ya buscamos otros fondos para formar a otros estamentos. Por ejemplo, vamos a hablar con la fiscal de sala contra la criminalidad informática, Elvira Tejada, para ver qué les puede interesar a los fiscales como formación. Nosotros ahora mismo no tenemos dinero para formar fiscales, así que habría que salir a buscar dinero. Pero lo vamos a hacer desde el principio, porque nos interesa.
¿Nadie está formando a los fiscales en temas de ciberseguridad?
Sí, tienen formación, pero desde el centro de excelencia vamos a intentar crear una formación que sea consistente con la del resto de Europa. Promover las buenas prácticas y los protocolos comunes es muy importante porque aquí no existen las fronteras. Cuando el policía español va a investigar un robo de información de un ordenador, busca la dirección IP y a qué país corresponde. Si es de dentro de Europa, ¿qué? ¿Cómo informo yo a la Policía belga para que vaya a investigar esto? Se necesitan protocolos. Y si descubrimos al culpable, ¿quién lo lleva a juicio? ¿Los belgas o los españoles? ¿Y de qué se le acusa? Los delitos informáticos son tan nuevos que muchas veces no tienen figura en los códigos penales. Desde el centro de excelencia vamos a intentar alinear a todas las fuerzas judiciales de Europa en esto.
España tiene una Estrategia Nacional de Conservación del Urogallo Cantábrico pero no tiene una Estrategia Nacional de Ciberseguridad.
No la hay, todavía. La Estrategia Nacional de Ciberseguridad estaba lista, iba a salir en octubre pasado, pero se suspendió porque estaba a la espera de la estrategia a nivel europeo y la Estrategia General de Seguridad a nivel español. Teóricamente está lista.
Sorprende que no haya una Estrategia Nacional de Ciberseguridad en pleno año 2013. Es como un agujero.
La verdad es que sí. A los que estamos metidos en el tema nos preocupa mucho. Lo que pasa es que el punto de vista estatal es bastante normal, porque los tiempos de reacción de los gobiernos siempre son bastante lentos. Se viene viendo desde hace años que la ciberseguridad es un problema, pero lleva tiempo que un gobierno cobre conciencia y se dé cuenta de que no le alcanza con la estrategia nacional de defensa.
Tampoco hay un mando único para toda la amalgama de centros de ciberseguridad que hay.
No lo hay, pero esto pasa en España y pasa en Europa. Acaba de crearse el famoso EC3, el Centro Europeo de Ciberdelincuencia, que depende de Europol, y se ha creado con el espíritu de ser el mando único que agrupe todo. Cuando hablas de ciberseguridad hablas de varios frentes, que aparentemente son distintos, aunque en el fondo técnicamente terminan siendo lo mismo. Y sería ideal que fuera un mando único. Pero estás hablando del frente de defensa estratégica del país como entendemos la defensa de un país: el territorio nacional expandido al ciberterritorio. Ahí está el Estado, el Ministerio de Defensa y el CNI, que deberían tomar cartas en el asunto. Luego tenemos la parte de las empresas. ¿Quién protege a las empresas? En temas de seguridad no parecía un tema muy importante pero, en temas de ciberseguridad, para el Estado defenderse a sí mismo significa también defender a sus empresas. Y luego tienes el aspecto de infraestructuras críticas, que en principio se empezó a contemplar como algo distinto a la ciberseguridad y que en realidad va por los mismos caminos, aunque en este caso tienes el componente industrial. El Mando de Ciberdefensa de las Fuerzas Armadas, en proceso de creación, es un paso muy positivo hacia el mando único, y una prueba de que el Ejército español es muy consciente de la problemática de la ciberseguridad y de que está haciendo cosas al respecto.
¿Cuál es el talón de Aquiles en ciberseguridad de España?
España no es un país distinto al resto del mundo en este sentido. Y en el resto del mundo la mayor vulnerabilidad son las personas, nuestras malas costumbres o nuestra falta de información para no ser imprudentes. Si se soluciona eso no se solucionarán todos los problemas de internet, pero le haremos la vida mucho más difícil a los malos.
¿Es técnicamente posible el ejemplo que ha puesto de entrar en la red de Iberdrola y cortarle la luz a media España?
Sí, técnicamente es posible.
¿Y por qué no lo hace nadie?
Hay mucha polémica con el tema, por lo que decía antes de ocultar los ataques. Hasta el momento no está plenamente confirmado ningún ataque contra una infraestructura crítica, excepto unos ataques que se produjeron hace dos años en Brasil. Llegaron a cortar la luz de la mitad del país. Eso es lo más aceptado que tuvo que ver con un ciberataque. Luego hubo rumores en EEUU de que atacaron una planta de agua, lo que pasa es que se terminó negando y diciendo que en realidad había sido un técnico propio de la compañía que se metió en remoto. El rumor quedó y no se sabe a ciencia cierta si fue un ciberataque o no. ¿Que por qué no se hacen más ataques? Yo digo que se pueden hacer, no que sea fácil. Cuesta recursos. Los malos tienen que ponerse a ello y descubrir vulnerabilidades. Así que no lo hacen porque no les ha interesado, porque de momento no han visto que vayan a sacar provecho de ello.
